EUROPOS KOMISIJA

Briuselis, 2024 07 25

COM(2024) 357 final

KOMISIJOS KOMUNIKATAS EUROPOS PARLAMENTUI IR TARYBAI

Antroji Bendrojo duomenų apsaugos reglamento taikymo ataskaita

1Įvadas

Tai yra Komisijos antroji Bendrojo duomenų apsaugos reglamento (BDAR) taikymo ataskaita, priimta pagal BDAR 97 straipsnį. Pirmoji ataskaita buvo priimta 2020 m. birželio 24 d. (toliau – 2020 m. ataskaita) ( 1 )).

BDAR yra vienas iš ES požiūrio į skaitmeninę pertvarką kertinių akmenų. Pagrindiniai jo principai – sąžiningas, saugus ir skaidrus asmens duomenų tvarkymas užtikrinant, kad asmuo išsaugotų savo duomenų kontrolę, – yra visos su asmens duomenų tvarkymu susijusios ES politikos pagrindas.

Po 2020 m. ataskaitos paskelbimo ES priėmė įvairių iniciatyvų, kuriomis siekiama, kad vykdant skaitmeninę pertvarką dėmesys visų pirma būtų skiriamas žmogui. Kiekviena iniciatyva siekiama konkretaus tikslo, pvz., sukurti saugesnę aplinką internete, užtikrinti didesnį skaitmeninės ekonomikos teisingumą ir konkurencingumą, sudaryti palankesnes sąlygas novatoriškiems moksliniams tyrimams, užtikrinti saugaus ir patikimo dirbtinio intelekto (DI) plėtojimą ir sukurti tikrą bendrąją duomenų rinką. Kai tai susiję su asmens duomenimis, šios iniciatyvos grindžiamos BDAR. Bendrasis duomenų apsaugos reglamentas taip pat yra pagrindas sektorių iniciatyvoms, kurios daro poveikį asmens duomenų tvarkymui, pvz., finansinių paslaugų, sveikatos, užimtumo, judumo ir teisėsaugos srityse.

Suinteresuotieji subjektai, duomenų apsaugos institucijos ir valstybės narės iš esmės sutaria, kad, nepaisant tam tikrų sunkumų, BDAR atnešė svarbių rezultatų asmenims ir įmonėms. Rizika grindžiamas ir technologiškai neutralus požiūris užtikrina tvirtą duomenų subjektų apsaugą ir proporcingas duomenų valdytojų ir duomenų tvarkytojų prievoles. Vis dėlto, daugelyje sričių ir toliau turėtų būti siekiama pažangos. Visų pirma ateinančiais metais reikėtų siekti padėti suinteresuotiesiems subjektams (ypač mažosioms ir vidutinėms įmonėms (MVĮ), smulkiems veiklos vykdytojams ir tyrėjams bei mokslinių tyrimų organizacijoms) užtikrinti atitiktį, taip pat teikti aiškesnes ir lengviau įgyvendinamas duomenų apsaugos institucijų gaires ir siekti nuoseklesnio BDAR aiškinimo ir vykdymo užtikrinimo visoje ES.

Vadovaujantis BDAR 97 straipsniu, Komisija visų pirma turėtų išnagrinėti tarptautinio asmens duomenų perdavimo trečiosioms šalims (t. y. ES / EEE nepriklausančioms šalims) taikymą ir veikimą (BDAR V skyrius) ir nacionalinių duomenų apsaugos institucijų bendradarbiavimo ir nuoseklumo užtikrinimo mechanizmus (BDAR VII skyrius). Tačiau, kaip ir 2020 m. ataskaitoje, šioje ataskaitoje pateikiamas bendras BDAR taikymo vertinimas, kuris apima daugiau nei šiuos du elementus. Joje taip pat nustatyta keletas veiksmų, būtinų siekiant paremti veiksmingą BDAR taikymą pagrindinėse prioritetinėse srityse.

Šioje ataskaitoje atsižvelgiama į šiuos šaltinius: i) 2023 m. gruodžio mėn. priimtą Tarybos poziciją ir išvadas ( 2 ); ii) iš suinteresuotųjų subjektų surinktą informaciją, visų pirma gautą iš BDAR įvairių suinteresuotųjų subjektų grupės ( 3 ) ir iš viešo kvietimo teikti informaciją ( 4 ); iii) duomenų apsaugos institucijų indėlį (pateiktą Europos duomenų apsaugos valdybos ( 5 ) (toliau – Valdyba) nuomonėje) ir Pagrindinių teisių agentūros (FRA) parengtą ataskaitą, pagrįstą pokalbiais su atskiromis duomenų apsaugos institucijomis ( 6 ) (toliau – FRA ataskaita). Ataskaita taip pat grindžiama Komisijos vykdoma BDAR taikymo stebėsena, įskaitant dvišalius pokalbius su valstybėmis narėmis dėl nacionalinės teisės aktų atitikties, aktyvų indėlį į Valdybos darbą ir glaudžius ryšius su įvairiais suinteresuotaisiais subjektais dėl praktinio reglamento taikymo.

2BDAR vykdymo užtikrinimas ir bendradarbiavimo bei nuoseklumo užtikrinimo mechanizmo veikimas 

BDAR vieno langelio principu grindžiama vykdymo užtikrinimo sistema siekiama užtikrinti, kad nepriklausomos duomenų apsaugos institucijos šį reglamentą aiškintų vienodai ir užtikrintų jo vykdymą. Tam reikalingas duomenų apsaugos institucijų bendradarbiavimas tarpvalstybinio duomenų tvarkymo bylose, kurios turi didelį poveikį duomenų subjektams keliose valstybėse narėse. Ginčus tarp institucijų pagal BDAR nuoseklumo užtikrinimo mechanizmą sprendžia Valdyba.

2.1Veiksmingesnis tarpvalstybinių bylų nagrinėjimas: pasiūlymas dėl procedūrinių taisyklių

2020 m. ataskaitoje pažymėta, kad visoje ES turi būti veiksmingiau ir darniau nagrinėjamos tarpvalstybinės bylos, visų pirma atsižvelgiant į didelius nacionalinių administracinių procedūrų ir BDAR bendradarbiavimo mechanizmo sąvokų aiškinimo skirtumus. Todėl 2023 m. liepos mėn. Komisija priėmė pasiūlymą dėl reglamento dėl procedūrinių taisyklių ( 7 ), be kita ko, remdamasi Komisijai 2022 m. spalio mėn. Valdybos pateiktu svarstytinų klausimų sąrašu ( 8 ) ir informacija, pateikta suinteresuotųjų subjektų ( 9 ) bei valstybių narių ( 10 ). Pasiūlymu BDAR papildomas nustatant išsamias taisykles dėl tarpvalstybinių skundų, skundo pateikėjo dalyvavimo, šalių, dėl kurių atliekamas tyrimas, (duomenų valdytojų ir duomenų tvarkytojų) tinkamo teisinio proceso teisių ir duomenų apsaugos institucijų bendradarbiavimo. Suderinus šiuos procedūrinius aspektus būtų lengviau laiku užbaigti tyrimus ir skubiai užtikrinti asmenims teisių gynimo priemones. Dėl pasiūlymo šiuo metu vyksta Europos Parlamento ir Tarybos derybos.

2.2Glaudesnis duomenų apsaugos institucijų bendradarbiavimas ir nuoseklumo užtikrinimo mechanizmo naudojimas

Pastaraisiais metais labai padaugėjo tarpvalstybinių bylų. Duomenų apsaugos institucijos yra labiau linkusios naudotis BDAR numatytomis bendradarbiavimo priemonėmis. Visos duomenų apsaugos institucijos naudojosi savitarpio pagalbos priemone ( 11 ) ir neoficialiais prašymais savanoriškai padėti vienos kitoms. Duomenų apsaugos institucijos pirmenybę teikia neoficialiems prašymams, kuriuose nėra nustatomas terminas ir nėra griežtos pareigos atsakyti. 2021 m. Valdyba priėmė gaires dėl bendrų operacijų ( 12 ), tačiau kol kas institucijos šia priemone nesinaudoja plačiai ( 13 ); kaip pagrindines to priežastis jos nurodė nacionalinių procedūrų skirtumus ir neaiškumus dėl procedūros.

Pagal BDAR, atitinkamos duomenų apsaugos institucijos, jei jos nesutinka su vadovaujančios duomenų apsaugos institucijos sprendimo projektu tarpvalstybinėje byloje, gali pareikšti tinkamą ir pagrįstą prieštaravimą. Tais atvejais, kai duomenų apsaugos institucijos dėl tinkamo ir pagrįsto prieštaravimo negali pasiekti bendro sutarimo, BDAR numatyta, kad ginčus sprendžia Valdyba ( 14 ). Dažniausios tinkamų ir pagrįstų prieštaravimų temos: i) duomenų tvarkymo teisinis pagrindas; ii) prievolės informuoti ir užtikrinti skaidrumą; iii) pranešimas apie duomenų saugumo pažeidimus; iv) duomenų subjektų teisės; v) tarptautiniam duomenų perdavimui taikomos nukrypti leidžiančios nuostatos; iv) taisomųjų priemonių naudojimas; vii) administracinės baudos dydis.

BDAR vykdymo užtikrinimo sistema yra grindžiama lojalaus ir veiksmingo duomenų apsaugos institucijų bendradarbiavimo prielaida. Nors šioje vykdymo užtikrinimo struktūroje ginčų sprendimo procedūrai tenka svarbus vaidmuo, ji turėtų būti naudojama taip, kaip numatyta, t. y. deramai atsižvelgiant į duomenų apsaugos institucijų kompetencijų pasidalijimą, būtinybę gerbti tinkamo proceso teises ir siekį laiku išspręsti bylą duomenų subjektams. Kiekvienai ginčų sprendimo procedūrai reikalingi dideli vadovaujančios institucijos, susijusių institucijų ir Valdybos sekretoriato ištekliai, be to, ją taikant atidedamas duomenų subjektų teisių gynimo priemonių vykdymas.

Vis dažniau duomenų apsaugos institucijos naudoja BDAR nuoseklumo užtikrinimo mechanizmą. Jį sudaro trys sudedamosios dalys: i) Valdybos nuomonės; ii) Valdybos vykdomas ginčų sprendimas; iii) skubos procedūra ( 21 ).

Valdybos nuomonėse vis dažniau kalbama apie svarbius bendro taikymo klausimus ( 22 ). Valdyba turėtų užtikrinti, kad prieš priimant tas nuomones būtų laiku ir prasmingai konsultuojamasi. Ginčų sprendimo tikslais pateiktose bylose buvo nagrinėjami tokie klausimai kaip vartotojų elgesiu grindžiamos reklamos socialiniuose tinkluose duomenų tvarkymo teisinis pagrindas ir vaikų duomenų tvarkymas internete. Didžioji dalis atitinkamų privalomų sprendimų buvo užginčyta Bendrajame Teisme.

Siekiant užtikrinti pagarbą teisei į gerą administravimą pagal ES pagrindinių teisių chartiją, labai svarbus yra Valdybos sprendimų priėmimo proceso skaidrumas. Vadovaudamosi BDAR skubos procedūra, duomenų apsaugos institucijos gali nukrypti nuo bendradarbiavimo ir nuoseklumo užtikrinimo mechanizmo ir prireikus imtis skubių priemonių duomenų subjektų teisėms ir laisvėms apsaugoti. Nukrypstant nuo įprastos bendradarbiavimo procedūros pagal BDAR, tokios priemonės kaip skubos procedūra yra skirtos naudoti tik išskirtinėmis aplinkybėmis ir tik tada, kai vykdant įprastą bendradarbiavimo procedūrą nėra įmanoma apsaugoti duomenų subjektų teisių ir laisvių.

2.3Veiksmingesnis vykdymo užtikrinimas

Pastaraisiais metais labai padidėjo duomenų apsaugos institucijų vykdymo užtikrinimo veiklos apimtys, įskaitant didelių baudų skyrimą svarbiose bylose prieš didžiąsias tarptautines technologijų įmones. Pavyzdžiui, baudos buvo skirtos už: i) duomenų tvarkymo teisėtumo ir saugumo pažeidimą; ii) specialių kategorijų asmens duomenų tvarkymo pažeidimą; iii) asmens teisių neužtikrinimą ( 25 ). Tai privertė privačiąsias bendroves duomenų apsaugą vertinti rimtai ( 26 ) ir padėjo organizacijose įtvirtinti reikalavimų laikymosi kultūrą. Duomenų apsaugos institucijų sprendimai dėl BDAR pažeidimų priimami bylose, kurios pradedamos gavus skundą arba jų pačių iniciatyva. Daug duomenų apsaugos institucijų veiksmingai taikė draugiško susitarimo procedūras, kad dėl skundo iškeltose bylose greitai priimtų skundo pateikėjui priimtiną sprendimą, nors tuo galima pasinaudoti ne visose valstybėse narėse. Pasiūlyme dėl procedūrinių taisyklių pripažįstama galimybė skundus spręsti draugišku susitarimu ( 27 ).

Duomenų apsaugos institucijos plačiai naudojosi įgaliojimais imtis taisomųjų priemonių, nors įvairių institucijų nustatytų taisomųjų priemonių skaičius labai skiriasi. Neskaitant baudų, dažniausiai taikytos taisomosios priemonės buvo įspėjimai, papeikimai ir nurodymai laikytis BDAR. Duomenų valdytojai ir duomenų tvarkytojai dažnai nacionaliniuose teismuose apskundžia sprendimus, kuriais nustatomi BDAR pažeidimai, dažniausiai dėl procedūrinių priežasčių ( 28 ).

Nors dauguma duomenų apsaugos institucijų mano, kad jų tyrimo priemonės yra tinkamos, kai kurioms reikia papildomų nacionalinio lygmens priemonių, pvz., tinkamų sankcijų, kai duomenų valdytojai nebendradarbiauja arba nepateikia būtinos informacijos ( 32 ). Duomenų apsaugos institucijų manymu, pagrindinis jų vykdymo užtikrinimo pajėgumams poveikį darantis veiksnys yra nepakankami ištekliai ir techninės bei teisinės kompetencijos spragos ( 33 ).

2.4Valdyba

Valdybą sudaro kiekvienos valstybės narės vienos duomenų apsaugos institucijos vadovas ir Europos duomenų apsaugos priežiūros pareigūnas, Komisija dalyvauja be balsavimo teisės. Valdybai, kuriai padeda jos sekretoriatas, pavesta užtikrinti nuoseklų BDAR taikymą ( 34 ). Daugumos duomenų apsaugos institucijų manymu, Valdyba atliko teigiamą vaidmenį stiprinant jų tarpusavio bendradarbiavimą ( 35 ). Daugelis duomenų apsaugos institucijų skiria daug išteklių Valdybos veiklai, nors mažesnės institucijos nurodo, kad dėl savo dydžio jos negali dalyvauti visapusiškai ( 36 ). Kai kurios institucijos mano, kad reikėtų didinti Valdybos procesų veiksmingumą, visų pirma mažinti posėdžių skaičių ir mažiau dėmesio skirti neesminiams klausimams ( 37 ). Atsižvelgiant į derybų dėl pasiūlymo dėl BDAR procedūrinių taisyklių, kuriuo siekiama sumažinti Valdybai teikiamų ginčytinų bylų skaičių, rezultatą, gali reikėti apsvarstyti galimybę Valdybai skirti papildomų išteklių.

Nuo 2023 m. lapkričio mėn. Valdyba priėmė 35 gaires. Suinteresuotųjų subjektų ir duomenų apsaugos institucijų vertinimu, jos yra naudingos, tačiau abi šios grupės mano, kad gairės turėtų būti rengiamos greičiau ir turėtų būti kokybiškesnės ( 38 ). Suinteresuotieji subjektai pažymi, kad dažnai jos yra pernelyg teorinės, per ilgos ir neatspindi BDAR rizika grindžiamo požiūrio ( 39 ). Duomenų apsaugos institucijos ir Valdyba turėtų teikti glaustas praktines gaires, kurios padėtų spręsti konkrečias problemas ir atspindėtų duomenų apsaugos ir kitų pagrindinių teisių pusiausvyrą. Gairės taip pat turėtų būti lengvai suprantamos teisinio išsilavinimo neturintiems asmenims, pavyzdžiui, MVĮ ir savanorių organizacijose ( 40 ). Tai būtų galima pasiekti užtikrinant skaidresnį gairių rengimą ir nuo pat pradžių konsultuojantis, kad būtų galima geriau suprasti rinkos dinamiką, verslo praktiką ir kaip gairės taikomos praktikoje ( 41 ). Palankiai vertinama tai, kad Valdybos 2024–2027 m. strategijoje pabrėžiamas jos tikslas teikti praktines gaires, kurios būtų prieinamos atitinkamai auditorijai ( 42 ).

Suinteresuotieji subjektai pabrėžia, kad reikia papildomų gairių, visų pirma dėl anoniminimo ir pseudoniminimo ( 43 ), teisėtų interesų ir mokslinių tyrimų ( 44 ). 2020 m. ataskaitoje Komisija paragino Valdybą priimti mokslinių tyrimų gaires, tačiau šios gairės dar nėra priimtos. Pripažįstant mokslinių tyrimų svarbą visuomenėje, visų pirma siekiant stebėti ligas ir kurti gydymo būdus, taip pat skatinti inovacijas, labai svarbu, kad duomenų apsaugos institucijos paaiškintų šiuos klausimus nebedelsdamos ( 45 ). Valdžios institucijoms taip pat būtų naudingos gairės, kuriose būtų nagrinėjamos konkrečios problemos, su kuriomis jos susiduria ( 46 ).

2.5Duomenų apsaugos institucijos

2.5.1Nepriklausomumas ir ištekliai

Duomenų apsaugos institucijų nepriklausomumas įtvirtintas ES pagrindinių teisių chartijoje ir Sutartyje dėl ES veikimo. BDAR nustatyti reikalavimai, kuriais siekiama užtikrinti visišką duomenų apsaugos institucijų nepriklausomumą ( 47 ). FRA ataskaitoje nustatyta, kad dauguma duomenų apsaugos institucijų veikia nepriklausomai nuo vyriausybės, parlamento ar kitų viešųjų įstaigų ( 48 ).

Duomenų apsaugos institucijoms reikia tinkamų žmogiškųjų, techninių ir finansinių išteklių, kad jos galėtų veiksmingai ir nepriklausomai vykdyti savo užduotis pagal BDAR. 2020 m. ataskaitoje Komisija atkreipė dėmesį, kad duomenų apsaugos institucijų ištekliai vis dar nėra patenkinami, ir nuolat kelia šį klausimą valstybėms narėms. Nuo tada padėtis pagerėjo.

Nors šie statistiniai duomenys rodo bendrą duomenų apsaugos institucijų išteklių didėjimo tendenciją, pačių institucijų vertinimu, jų visų žmogiškieji ištekliai vis dar nepakankami ( 50 ). Jos pabrėžia, kad reikia labai specializuotų techninių žinių, visų pirma susijusių su naujomis ir besiformuojančiomis technologijomis ( 51 ), kurių trūkumas turi įtakos jų darbo kiekybei ir kokybei, taip pat pabrėžia, kad dėl žmogiškųjų išteklių sunku konkuruoti su privačiuoju sektoriumi. Duomenų apsaugos institucijos nurodo, kad nepakanka teisinių žinių bei kalbos įgūdžių ir kad tai daro įtaką jų veiklos rezultatams. Mažas užmokestis, negalėjimas savarankiškai pasirinkti darbuotojus ir didelis darbo krūvis pabrėžiami kaip pagrindiniai veiksniai, darantys poveikį institucijų galimybei darbuotojus įdarbinti ir išlaikyti ( 52 ). Duomenų apsaugos institucijos taip pat pabrėžia, kad joms reikia finansinių išteklių, kad jos galėtų modernizuoti ir skaitmeninti savo procesus ir įsigyti techninės įrangos ( 53 ). Visos duomenų apsaugos institucijos vykdo ir užduotis, kurios nėra joms pavestos pagal BDAR( 54 ), pvz., kaip Duomenų apsaugos teisėsaugos srityje direktyvos ir E. privatumo direktyvos priežiūros institucijos; daugelis iš jų reiškia susirūpinimą, kad pagal naujus skaitmeninės srities teisės aktus joms teks naujų pareigų ( 55 ).

2.5.2Sunkumai nagrinėjant didelį skaičių skundų

Kelios duomenų apsaugos institucijos nurodo, kad per daug jų išteklių išnaudojama nagrinėjant didelį skaičių skundų, kurių dauguma, jų nuomone, yra nereikšmingi ir nepagrįsti, nes kiekvieno skundo nagrinėjimas yra prievolė pagal BDAR, kuriai taikoma teisminė peržiūra ( 56 ). Tai reiškia, kad duomenų apsaugos institucijos negali skirti pakankamai išteklių kitai veiklai, pvz., tyrimams savo iniciatyva, visuomenės informuotumo didinimo kampanijoms ir darbui su duomenų valdytojais ( 57 ). Kaip viešojo sektoriaus institucijos, duomenų apsaugos institucijos gali savo nuožiūra skirstyti savo išteklius, kad galėtų vykdyti visas savo užduotis (išvardytas BDAR 57 straipsnio 1 dalyje) viešojo intereso labui. Daugelis duomenų apsaugos institucijų priėmė strategijas, kuriomis siekiama padidinti skundų nagrinėjimo veiksmingumą, pavyzdžiui, automatizavimo ( 58 ), draugiško susitarimo procedūrų ( 59 ) taikymo ir su panašiais klausimais susijusių skundų grupavimo ( 60 ).

2.5.3Nacionalinių duomenų apsaugos institucijų atliekamas BDAR aiškinimas

Pagrindinis BDAR tikslas buvo suvienodinti skirtingą požiūrį į duomenų apsaugą, kuris vyravo pagal ankstesnę Duomenų apsaugos direktyvą (Direktyva 95/46/EB) ( 61 ). Tačiau duomenų apsaugos institucijos ir toliau pagrindines duomenų apsaugos sąvokas aiškina skirtingai ( 62 ). Suinteresuotieji subjektai mano, kad tai yra pagrindinė kliūtis nuosekliam BDAR taikymui Europos Sąjungoje. Vis dar egzistuojantis skirtingas aiškinimas lemia teisinį netikrumą ir didesnes įmonių išlaidas (pvz., kelioms valstybėms narėms reikalaujama skirtingų dokumentų), o tai trukdo laisvam asmens duomenų judėjimui Europos Sąjungoje, kenkia tarpvalstybiniam verslui ir trukdo su neatidėliotinais visuomenės uždaviniais susijusiems moksliniams tyrimams ir inovacijoms.

Konkrečios suinteresuotųjų subjektų nurodytos problemos, be kita ko, yra šios: i) tai, kad trijų valstybių narių duomenų apsaugos institucijos laikosi skirtingo požiūrio dėl tinkamo asmens duomenų tvarkymo teisinio pagrindo vykdant klinikinį tyrimą; ii) dažnai skiriasi nuomonės dėl to, ar subjektas yra duomenų valdytojas, ar duomenų tvarkytojas; iii) kai kuriais atvejais duomenų apsaugos institucijos nesilaiko Valdybos gairių arba nacionaliniu lygmeniu paskelbia gaires, kurios prieštarauja Valdybos gairėms ( 63 ). Šios problemos dar pagilėja, kai prieštaringus aiškinimus pateikia kelios vienos valstybės narės duomenų apsaugos institucijos.

Kai kurie suinteresuotieji subjektai taip pat mano, kad tam tikros duomenų apsaugos institucijos ir Valdyba pateikia aiškinimus, kuriais nukrypstama nuo BDAR rizika grindžiamo požiūrio, o tai kelia sunkumų skaitmeninės ekonomikos plėtrai ( 64 ) ir žiniasklaidos laisvei bei pliuralizmui. Jie nurodo šias susirūpinimą keliančias sritis: i) anoniminimo aiškinimas; ii) teisėto intereso ir sutikimo teisinis pagrindas ( 65 ); iii) draudimo automatizuotai priimti individualius sprendimus išimtys ( 66 ). Reikėtų nepamiršti, kad duomenų apsaugos institucijoms ir Valdybai pavesta užtikrinti ir fizinių asmenų apsaugą tvarkant jų asmens duomenis, ir laisvą asmens duomenų judėjimą Europos Sąjungoje. Kaip pripažinta Bendrajame duomenų apsaugos reglamente ( 67 ), teisė į asmens duomenų apsaugą turi būti vertinama atsižvelgiant į jos visuomeninę paskirtį ir derėti su kitomis pagrindinėmis teisėmis, remiantis proporcingumo principu.

2.5.4Darbas su duomenų valdytojais ir duomenų tvarkytojais

Suinteresuotieji subjektai pabrėžia, jog siekiant užtikrinti, kad nuo pat pradžių būtų laikomasi BDAR, visų pirma besiformuojančių technologijų atžvilgiu, naudinga turėti konstruktyvaus dialogo su duomenų apsaugos institucijomis galimybę. Suinteresuotieji subjektai pažymi, kad kai kurios duomenų apsaugos institucijos aktyviai bendradarbiauja su duomenų valdytojais, o kitos reaguoja lėtai, pateikia neaiškius atsakymus arba apskritai neatsako ( 68 ).

3BDAR įgyvendinimas valstybėse narėse

3.1Nacionalinio taikymo susiskaidymas

Nors BDAR, kaip reglamentas, yra taikomas tiesiogiai, jame reikalaujama, kad valstybės narės priimtų tam tikrų sričių teisės aktus, ir joms suteikiama galimybė tam tikrose srityse jo taikymą patikslinti ( 69 ). Priimdamos teisės aktus nacionaliniu lygmeniu valstybės narės turi laikytis BDAR nustatytų sąlygų ir apribojimų. Kaip ir 2020 m., suinteresuotieji subjektai teigia, kad, kai valstybės narės turi galimybę tikslinti BDAR, jiems kyla sunkumų dėl nacionalinių taisyklių fragmentacijos, visų pirma susijusios su tokiais klausimais kaip:

·vaiko, kuriam siūlomos informacinės visuomenės paslaugos, sutikimui reikalingas minimalus amžius ( 70 );

·valstybių narių nustatomos papildomos sąlygos, susijusios su genetinių duomenų, biometrinių duomenų arba sveikatos duomenų tvarkymu ( 71 );

·asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas ( 72 ), tvarkymas, dėl kurio tam tikruose reguliuojamuose sektoriuose kyla sunkumų.

Be to, svarbu pažymėti, jog daug suinteresuotųjų subjektų teigia, kad fragmentacijos problemos iš esmės kyla ne dėl to, kad valstybės narės taiko neprivalomas patikslinimo sąlygas, o dėl to, kad duomenų apsaugos institucijos BDAR aiškina skirtingai.

Valstybių narių manymu, nedidelė fragmentacija gali būti priimtina, o BDAR nustatytos patikslinimo sąlygos tebėra naudingos, visų pirma valdžios institucijų tvarkomų duomenų atžvilgiu ( 73 ). BDAR reikalaujama, kad rengdamos su asmens duomenų tvarkymu susijusius teisės aktus valstybės narės konsultuotųsi su savo nacionaline duomenų apsaugos institucija ( 74 ). FRA ataskaitoje nustatyta, kad kai kurios vyriausybės toms institucijoms nustato labai trumpus terminus ir kai kuriais atvejais su jomis visiškai nesikonsultuoja ( 75 ).

3.2Komisijos vykdoma stebėsena

Komisija nuolat stebi BDAR įgyvendinimą. Komisija pradėjo pažeidimo nagrinėjimo procedūras prieš valstybes nares dėl tokių klausimų kaip duomenų apsaugos institucijų nepriklausomumas (be kita ko, laisvės nuo išorinės įtakos išsaugojimas ir galimybė pasinaudoti teisminėmis teisių gynimo priemonėmis atleidimo iš darbo atveju) ( 76 ) ir duomenų subjektų teisė į veiksmingas teismines teisių gynimo priemones tais atvejais, kai duomenų apsaugos institucija nenagrinėja skundo ( 77 ). Vykdydama stebėseną Komisija taip pat prašo duomenų apsaugos institucijų visiškai konfidencialiai teikti įprastą informaciją ( 78 ) apie nagrinėjamas didelio masto tarpvalstybines bylas, visų pirma susijusias su didžiosiomis tarptautinėmis technologijų įmonėmis.

Komisija nuolat palaiko ryšius su valstybėmis narėmis dėl BDAR įgyvendinimo. Kaip nustatyta 2020 m. ataskaitoje, Komisija toliau pasitelkė BDAR valstybių narių ekspertų grupe ( 79 ), kad palengvintų diskusijas ir dalijimąsi patirtimi dėl veiksmingo BDAR įgyvendinimo. Ekspertų grupė surengė konkrečias diskusijas dėl: i) teismines funkcijas vykdančių teismų priežiūros (BDAR 55 straipsnis; Chartijos 8 straipsnis); ii) teisės į duomenų apsaugą ir teisės į saviraiškos laisvę suderinimo (BDAR 85 straipsnis); iii) teisės imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros instituciją (BDAR 78 straipsnis). Po šių diskusijų Komisija parengė tų nuostatų įgyvendinimo valstybėse narėse metodų apžvalgas ( 80 ). Rengdama pasiūlymą dėl procedūrinių taisyklių Komisija taip pat naudojosi šia grupe keistis nuomonėmis su valstybėmis narėmis.

Vykdant Šengeno acquis taikymo vertinimus, kuriuos kartu atlieka valstybės narės ir Komisija, taip pat vertinama, ar nacionalinės teisės aktai ir praktika atitinka ES teisės aktuose dėl Šengeno erdvės nustatytas duomenų apsaugos taisykles. Kasmet atliekami bent penki duomenų apsaugos vertinimai vietoje, šiuo metu daugiausia dėmesio skiriant didelės apimties IT sistemoms ir Šengeno informacinei sistemai, Vizų informacinei sistemai, taip pat nacionalinių duomenų apsaugos institucijų priežiūros vaidmeniui tų sistemų atžvilgiu.

Komisija aktyviai prisideda prie didelio skaičiaus Teisingumo Teisme nagrinėjamų bylų (pastaraisiais metais priimta apie 30 prejudicinių sprendimų per metus), kurios yra labai svarbios nuosekliai aiškinant pagrindines BDAR sąvokas. Vis gausėjančioje Teismo jurisprudencijoje pateikta keletas paaiškinimų, pvz., dėl asmens duomenų apibrėžties ( 81 ), specialių kategorijų asmens duomenų ( 82 ), duomenų valdytojo ( 83 ), sutikimo ( 84 ), teisėto intereso ( 85 ), teisės susipažinti su duomenimis ( 86 ), teisės reikalauti ištrinti duomenis ( 87 ), teisės į kompensaciją ( 88 ), automatizuoto individualių sprendimų priėmimo ( 89 ), administracinių baudų ( 90 ), duomenų apsaugos pareigūnų ( 91 ), asmens duomenų skelbimo registruose ( 92 ) ir BDAR taikymo parlamentų veiklai ( 93 ).

4Duomenų subjektų teisės

Asmenys vis daugiau žino apie BDAR nustatytas jų teises ir aktyviai jomis naudojasi ( 94 ). Duomenų apsaugos institucijos skiria daug išteklių plačiosios visuomenės informuotumui apie duomenų apsaugos teises ir prievoles didinti, pvz., vykdydamos socialinių tinklų ir televizijos kampanijas, per pagalbos linijas, informacinius biuletenius ir pristatymus švietimo įstaigose ( 95 ). Daugeliui šių iniciatyvų naudotas ES finansavimas ( 96 ). Pagrindinių teisių agentūra pažymi, kad nors plačiosios visuomenės informuotumas apie duomenų apsaugą padidėjo, tačiau, kaip matyti iš daugybės nereikšmingų ar nepagrįstų skundų, supratimo apie duomenų apsaugą vis dar trūksta ( 97 ). Sukurta keletas naudotojams patogių skaitmeninių priemonių, kad duomenų subjektams būtų lengviau naudotis savo teisėmis ( 98 ). Teisėkūros aktais, visų pirma Duomenų valdymo aktu ( 99 ), turėtų būti sukurta papildomų būdų duomenų subjektams ateityje naudotis savo teisėmis. Įmonės pažymi, kad vis dažniau naudojamasi teise reikalauti ištrinti duomenis, tačiau retai naudojamasi teise reikalauti ištaisyti duomenis ir teise nesutikti.

4.1Teisė susipažinti su duomenimis

Duomenų valdytojai praneša, kad duomenų subjektai dažniausiai naudojasi teise susipažinti su duomenimis (BDAR 15 straipsnis). Gaires dėl šios teisės Valdyba priėmė 2022 m., tačiau duomenų valdytojai ir toliau praneša apie sunkumus, kurių kyla, pvz., kai aiškinama sąvoka „nepagrįsti arba pertekliniai prašymai“ ( 100 ), teikiami atsakymai į daug prašymų ir nagrinėjami prašymai, pateikti su duomenų apsauga nesusijusiais tikslais, pvz., renkant įrodymus teismo procesui ( 101 ). Pilietinės visuomenės organizacijos pažymi, kad dažnai vėluojama pateikti atsakymus į prašymus susipažinti su duomenimis arba atsakymai yra neišsamūs, o gauti duomenys ne visada pateikiami skaitomu formatu ( 102 ). Valdžios institucijos nurodo, kad kyla sunkumų dėl sąveikos tarp teisės susipažinti su duomenimis ir galimybės visuomenei susipažinti su dokumentais taisyklių ( 103 ). Todėl palankiai vertinama tai, kad 2024 m. vasario mėn. Valdyba pradėjo Tikslinės patikros sistemos bendrą veiksmą dėl teisės susipažinti su duomenimis ( 104 ).

4.2Teisė į perkeliamumą

2020 m. ataskaitoje Komisija įsipareigojo išnagrinėti praktines priemones, kaip laikantis duomenų strategijos sudaryti palankesnes sąlygas asmenims plačiau naudotis teise į perkeliamumą (BDAR 20 straipsnis). Nuo tada Komisija priėmė keletą šią teisę papildančių iniciatyvų. Šiomis iniciatyvomis sudaromos palankesnės sąlygos lengvai pakeisti paslaugas – taip asmenims suteikiama daugiau pasirinkimo galimybių, remiama konkurencija ir inovacijos, taip pat sudaromos sąlygos asmenims gauti naudos iš jų duomenų naudojimo. Duomenų aktu išmaniųjų įrenginių naudotojams suteikiama platesnė teisė į tokiais prietaisais sugeneruotų duomenų perkeliamumą ir reikalaujama, kad gamintojo ar duomenų turėtojo gaminio arba galinio serverio konstrukcija būtų tokia, kad perkeliamumas būtų techniškai įmanomas. Skaitmeninių rinkų akte reikalaujama, kad pagrindinių platformų paslaugų teikėjai, nustatyti kaip prieigos valdytojai, užtikrintų veiksmingą naudotojų duomenų perkeliamumą, įskaitant nuolatinę ir tikralaikę prieigą prie tokių duomenų. Keliose kitose Komisijos iniciatyvose, dėl kurių šiuo metu deramasi arba dėl kurių jau pasiektas politinis susitarimas (pvz., Direktyva dėl darbo skaitmeninėse platformose ( 105 ), Europos sveikatos duomenų erdvė ( 106 ) ir Prieigos prie finansinių duomenų sistema ( 107 ), numatytos didesnės perkeliamumo teisės konkrečiose srityse.

4.3Teisė pateikti skundą

Kaip matyti iš didelio skundų skaičiaus, apie teisę pateikti skundą duomenų apsaugos institucijai žinoma plačiai. Pilietinės visuomenės organizacijos pabrėžia nepagrįstus nacionalinės skundų nagrinėjimo praktikos skirtumus; šis klausimas sprendžiamas Komisijos pasiūlyme dėl procedūrinių taisyklių. Kelios valstybės narės pasinaudojo BDAR numatyta galimybe suteikti teisę ne pelno organizacijai imtis veiksmų nepriklausomai nuo duomenų subjekto įgaliojimų (80 straipsnio 2 dalis). Vis dėlto 2020 m. priimta Atstovaujamųjų ieškinių direktyva ( 108 ) padės užtikrinti didesnį suderinimą šiuo atžvilgiu, nes asmenims bus lengviau imtis kolektyvinių veiksmų dėl BDAR pažeidimo. Direktyvos perkėlimo į nacionalinę teisę priemonės pradėtos taikyti 2023 m. birželio mėn.

4.4Vaikų asmens duomenų apsauga

Tvarkant vaikų asmens duomenis būtina užtikrinti jiems pritaikytą apsaugą ( 109 ). BDAR yra dalis visapusiškos teisinės sistemos, kuria užtikrinama, kad vaikai būtų apsaugoti ir realiame gyvenime, ir internete ( 110 ). Atsižvelgiant į tai, kad vis daugiau vaikų naudojasi internetu, pastaraisiais metais ES ir nacionaliniu lygmenimis imtasi įvairių veiksmų vaikų apsaugai internete sustiprinti. Duomenų apsaugos institucijos socialinių tinklų įmonėms skyrė dideles baudas už BDAR pažeidimus tvarkant vaikų duomenis. Jos taip pat bendradarbiauja su kitomis institucijomis ir ragina labiau saugoti vaikus reklamos srityje. 2020 m. ataskaitoje Komisija paragino Valdybą priimti vaikų duomenų tvarkymo gaires ir šiuo metu šis darbas vyksta ( 111 ). Skaitmeninių paslaugų akte numatytos konkrečios nuostatos, kuriomis siekiama užtikrinti aukštą interneto platformomis besinaudojančių vaikų privatumo, saugos ir saugumo lygį.

Kai kurie suinteresuotieji subjektai praneša apie su duomenų subjektų teisėmis susijusius sunkumus, kai duomenų subjektai yra vaikai. Visų pirma jie teigia, kad vaikai nevisiškai supranta savo teises, neturi skaitmeninio raštingumo įgūdžių, be to, jiems gali būti daromas nederamas poveikis ( 112 ). Komisija finansavo keletą nacionalinio lygmens iniciatyvų, susijusių su vaikų duomenų apsauga ir vaikų informuotumo apie duomenų apsaugą skatinimu ( 113 ). Vadovaudamasi Vaikams geresnio interneto strategija (VGI+ strategija), Komisija teikia vaikų informuotumo didinimo išteklių ir rengia mokymus apie jų skaitmenines teises, įskaitant duomenų apsaugą (pvz., skaitmeninį sutikimą) ( 114 ). Vis labiau akcentuojama, kad reikia veiksmingų ir privatumą užtikrinančių amžiaus patikros priemonių. 2024 m. pradžioje Komisija kartu su valstybėmis narėmis, Valdyba ir Europos audiovizualinės žiniasklaidos paslaugų reguliuotojų grupė įsteigė darbo grupę amžiaus patikros klausimais, kurios tikslas – aptarti ir remti galimybę kurti Europos masto požiūrį į amžiaus patikrą. Šis darbas vadovaujant Skaitmeninių paslaugų akto valdybai bus tęsiamas Nepilnamečių apsaugos darbo grupėje. Atsižvelgdama į 2024 m. gegužės mėn. įsigaliojusį ES skaitmeninės tapatybės reglamentą ( 115 ), Komisija siekia užtikrinti, kad 2026 m. visiems ES piliečiams ir gyventojams būtų pasiūlyta europinė skaitmeninės tapatybės dėklė, be kita ko, amžiaus patikros tikslais. Kol dėklės ekosistema pradės veikti visu pajėgumu, bus parengtas ir visoje ES taps prieinamas trumpalaikis sprendimas dėl amžiaus patikros.

5Organizacijų, visų pirma MVĮ, galimybės ir iššūkiai

Priėmus BDAR, sukurtos vienodos sąlygos vidaus rinkoje veikiančioms įmonėms, o jo technologiškai neutralus ir inovacijoms palankus požiūris įmonėms suteikia galimybę išvengti pernelyg didelio biurokratizmo ir užsitikrinti didesnį vartotojų pasitikėjimą ( 116 ). Daugelis įmonių sukūrė įmonės duomenų apsaugos kultūrą ir mano, kad privatumas ir duomenų apsauga yra svarbūs konkurencijos aspektai. Įmonės vertina BDAR nustatytą rizika grindžiamą požiūrį kaip svarbų principą, suteikiantį galimybę užtikrinti jų prievolių lankstumą ir išplečiamumą ( 117 ).

5.1Įmonėms skirtų priemonių rinkinys

BDAR pateikiamas priemonių rinkinys, kad organizacijos galėtų lanksčiai valdyti ir įrodyti savo atitiktį, įskaitant elgesio kodeksus, sertifikavimo mechanizmus ir standartines sutarčių sąlygas. Kaip skelbta 2020 m. ataskaitoje, 2021 m. Komisija priėmė standartines sutarčių sąlygas dėl duomenų valdytojo ir duomenų tvarkytojo santykių ( 118 ). Šios standartinės sutarčių sąlygos yra iš anksto parengta ir lengvai įgyvendinama savanoriška atitikties užtikrinimo priemonė, kuri yra ypač naudinga MVĮ arba organizacijoms, kurios galbūt neturi išteklių derėtis su savo komerciniais partneriais dėl atskirų sutarčių. Įmonių atsiliepimai apie standartinių sutarčių sąlygų taikymą nėra vienodi, t. y. kai kurios įmonės (daugiausia MVĮ) jas taiko visiškai arba iš dalies, o kitos (daugiausia didesnės įmonės) yra linkusios jomis nesinaudoti, nes pageidauja taikyti savo sąlygas.

Įmonės pabrėžia, kad, kaip konkrečiam sektoriui skirta ir ekonomiškai efektyvi atitikties užtikrinimo priemonė, didelį potencialą turi elgesio kodeksai ( 119 ). Tačiau jie buvo rengiami vangiai ( 120 ). Remiantis iki šiol turima informacija, patvirtinti tik du visos ES kodeksai (abu debesijos sektoriuje), o šeši kodeksai patvirtinti nacionaliniu lygmeniu ( 121 ). Suinteresuotųjų subjektų teigimu, pagrindiniai elgesio kodeksų naudojimą ribojantys veiksniai yra apsunkinantys reikalavimai (įskaitant poreikį įsteigti akredituotą stebėsenos įstaigą), nepakankamas duomenų apsaugos institucijų dalyvavimas ir ilgas patvirtinimo procesas ( 122 ).

Būtina užtikrinti didesnį proceso skaidrumą ir aiškius patvirtinimo terminus. Duomenų apsaugos institucijos ir Valdyba (ES masto kodeksų atveju) turėtų aktyviau skatinti rengti elgesio kodeksus bendradarbiaudamos su kodeksus rengiančiomis asociacijomis. Tai padės panaikinti aiškinimo skirtumus ir paspartinti patvirtinimo procesą. Suinteresuotieji subjektai apgailestauja, kad labai vėluojama priimti elgesio kodeksus, nes klausimai svarstomi lygiagrečiai rengiant gaires. Įmonės taip pat praneša, kad sertifikavimas nėra plačiai taikomas, nes rengimo procesas yra lėtas ir sudėtingas. Kaip ir elgesio kodeksų atveju, duomenų apsaugos institucijos turėtų nustatyti aiškesnius sertifikatų peržiūros ir patvirtinimo terminus.

Valdyba savo 2024–2027 m. strategijoje įsipareigojo toliau remti atitikties užtikrinimo priemones, pvz., sertifikavimą ir elgesio kodeksus, be kita ko, bendradarbiaudama su pagrindinėmis suinteresuotųjų subjektų grupėmis, kad būtų paaiškinta, kaip tos priemonės gali būti naudojamos ( 123 ).

5.2Specifiniai iššūkiai, su kuriais susiduria MVĮ ir smulkieji veiklos vykdytojai

2020 m. ataskaitoje Komisija pasisakė už tai, kad būtų aktyviau siekiama padėti MVĮ laikytis Bendrojo duomenų apsaugos reglamento. Pastaraisiais metais duomenų apsaugos institucijos ir Valdyba, iš dalies finansiškai remiamos Komisijos, toliau plėtojo MVĮ skirtas atitikties užtikrinimo priemones ( 124 ). 2023 m. balandžio mėn. Valdyba paskelbė duomenų apsaugos vadovą ( 125 ) smulkiajam verslui, kuriame praktinė informacija MVĮ pateikiama prieinama ir lengvai suprantama forma.

Daugelio valstybių narių MVĮ pabrėžia, kad joms naudinga vietos duomenų apsaugos institucijų teikiama specialiai pritaikyta parama. Tačiau dėl skirtingo duomenų apsaugos institucijų požiūrio į informuotumo didinimą ir rekomendacijų teikimą tam tikrose valstybėse narėse MVĮ mano, kad reikalavimų laikymasis yra sudėtingas, ir baiminasi vykdymo užtikrinimo ( 126 ). Duomenų apsaugos institucijos turėtų dėti dvigubai daugiau pastangų šioms problemoms spręsti, be kita ko, aktyviai bendradarbiauti su MVĮ, kad būtų išsklaidytas bet koks nepagrįstas susirūpinimas dėl atitikties. Duomenų apsaugos institucijos turėtų visų pirma teikti specialiai pritaikytą paramą ir praktines priemones, pvz., šablonus (pvz., duomenų apsaugos poveikio vertinimams atlikti), pagalbos linijas, aiškinamuosius pavyzdžius, kontrolinius sąrašus ir rekomendacijas dėl konkrečių duomenų tvarkymo operacijų (pvz., sąskaitų išrašymo ar informacinių biuletenių), taip pat technines ir organizacines priemones. Kadangi dauguma MVĮ neturi savo duomenų apsaugos ekspertų, visos MVĮ skirtos gairės turėtų būti lengvai suprantamos teisinio išsilavinimo neturintiems asmenims ( 127 ).

Laikantis BDAR rizika grindžiamo požiūrio, mažos rizikos duomenų tvarkymo veiklą vykdančios MVĮ nepatiria didelės reglamentavimo naštos. Nors nukrypti leidžianti nuostata dėl duomenų tvarkymo veiklos įrašų saugojimo ( 128 ) taikoma tik tam tikromis aplinkybėmis ( 129 ), mažos rizikos duomenų tvarkymą vykdančios MVĮ gali laikytis reikalavimų saugodamos supaprastintus įrašus, pagrįstus duomenų apsaugos institucijų pateiktais šablonais. Be to, tokie įrašai turėtų būti laikomi naudinga MVĮ duomenų tvarkymo veiklos vertinimo priemone.

5.3Duomenų apsaugos pareigūnai

Duomenų apsaugos pareigūnai labai padeda užtikrinti, kad organizacijose, kuriose jie dirba, būtų laikomasi BDAR. Apskritai ES veikiantys duomenų apsaugos pareigūnai turi reikiamų žinių ir įgūdžių, kad galėtų atlikti savo užduotis pagal BDAR, o jų nepriklausomumas yra gerbiamas ( 130 ). Tačiau esama tam tikrų problemų, be kita ko: i) sunku paskirti reikiamos kvalifikacijos duomenų apsaugos pareigūnus; ii) nėra ES lygmens švietimo ir mokymo standartų; iii) duomenų apsaugos pareigūnai nėra tinkamai įtraukiami į organizacinius procesus; iv) trūksta išteklių; v) papildomos užduotys, nesusijusios su duomenų apsauga; vi) nepakankamas tarnybos stažas ( 131 ). Valdyba pažymėjo, kad duomenų apsaugos institucijos turi aktyvinti informuotumo didinimo veiklą, taip pat informavimo ir vykdymo užtikrinimo veiksmus, kad duomenų apsaugos pareigūnai galėtų atlikti savo vaidmenį pagal BDAR ( 132 ).

6BDAR – ES politikos skaitmeninėje sferoje kertinis akmuo

6.1BDAR grindžiama skaitmeninė politika

2020 m. ataskaitoje Komisija įsipareigojo remti nuoseklų duomenų apsaugos sistemos taikymą naujoms technologijoms, kad būtų remiamos inovacijos ir technologinė plėtra. Nuo tada ES priimta įvairių iniciatyvų; dalis jų skirtos papildyti BDAR arba nurodyti, kaip jis turėtų būti taikomas konkrečiose srityse, kad būtų pasiekti konkretūs tikslai, kaip aprašyta toliau.

·Skaitmeninių paslaugų aktu ( 133 ), kuriuo siekiama asmenims ir įmonėms užtikrinti saugią interneto aplinką, interneto platformoms draudžiama rodyti profiliavimu grindžiamą reklamą naudojant specialių kategorijų asmens duomenis, kaip apibrėžta BDAR.

·Siekiant didesnio skaitmeninių rinkų sąžiningumo ir konkurencingumo, Skaitmeninių rinkų aktu ( 134 ) operatoriams, kurie yra paskirti prieigos valdytojais, draudžiama jungti ir naudoti asmens duomenis tarp jų pagrindinių platformų paslaugų ir kitų paslaugų, nebent naudotojas davė sutikimą, kaip apibrėžta BDAR.

·DI akte ( 135 ) nurodytos ES duomenų apsaugos taisyklės konkrečiose srityse, kuriose naudojamas dirbtinis intelektas, pvz., nuotolinio biometrinio tapatybės nustatymo sistemose, tvarkant specialių kategorijų duomenis šališkumui nustatyti ir vykdant tolesnį asmens duomenų tvarkymą apribotoje bandomojoje reglamentavimo aplinkoje.

·Direktyva dėl darbo skaitmeninėse platformose ( 136 ) papildo BDAR užimtumo srityje: nustatomos taisyklės dėl skaitmeninėse darbo platformose naudojamų automatizuotų stebėsenos ir sprendimų priėmimo sistemų, visų pirma dėl asmens duomenų tvarkymo apribojimų, skaidrumo, žmogaus vykdomos priežiūros, taip pat peržiūros ir perkeliamumo.

·Politinės reklamos reglamentu ( 137 ) politinėje reklamoje draudžiama naudoti specialių kategorijų asmens duomenis ir reikalaujama, kad būtų daugiau skaidrumo dėl naudojamų atrankiojo adresavimo ir amplifikacijos metodų.

·Europos skaitmeninės tapatybės reglamentu sudaromos sąlygos sukurti visuotinę, patikimą ir saugią Europos skaitmeninės tapatybės dėklę. Tai asmenims suteiks galimybę patvirtinti asmeninę informaciją, pvz., amžių, vairuotojo pažymėjimus, diplomus ir banko sąskaitas, visiškai kontroliuojant savo asmens duomenis ir be reikalo nesidalijant duomenimis.

Jau kelerius metus deramasi dėl pasiūlymo dėl Skaitmeninių duomenų privatumo reglamento ( 138 ), kuriuo būtų pakeista dabartinė E. privatumo direktyva ( 139 ) ir papildyta privatumo ir duomenų apsaugos teisės aktų sistema. Reikia apsvarstyti tolesnius veiksmus įgyvendinant šią iniciatyvą, įskaitant jos ryšį su BDAR.

Europos sąveikumo aktu ( 140 ) siekiama užtikrinti skaitmeninių viešųjų paslaugų sąveikumą visoje ES. Juo remiamas duomenų apsaugos institucijų bendradarbiavimas, visų pirma pasitelkiant apribotą bandomąją sąveikumo reglamentavimo aplinką.

Keliomis ES iniciatyvomis suteikiamas teisinis pagrindas privatiems subjektams tvarkyti asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar patraukimo baudžiamojon atsakomybėn tikslais. Visi tokie teisės aktai turi būti kruopščiai pritaikyti, kad būtų kuo mažiau trikdoma teisė į asmens duomenų apsaugą, ir jie turi būti proporcingi siekiamam tikslui ( 141 ). Chartija, BDAR ir Teisingumo Teismo praktika yra pagrindas, pagal kurį šios iniciatyvos turėtų būti vertinamos. Siūlomame kovos su pinigų plovimu dokumentų rinkinyje ( 142 ) numatytos esminės asmens duomenų apsaugos užtikrinimo priemonės, nepakenkiant tikslui mažinti pinigų plovimo ir terorizmo finansavimo riziką ir veiksmingai nustatyti nusikalstamus bandymus netinkamai naudotis ES finansų sistema.

Šiuo atžvilgiu Taryba pabrėžė, kad visi nauji ES teisės aktai, kuriuose yra nuostatų dėl asmens duomenų tvarkymo, turėtų atitikti BDAR ir Teisingumo Teismo praktiką.

6.2Teisinis pagrindas dalijimuisi duomenimis pagerinti

Duomenų strategija siekiama sukurti bendrąją duomenų rinką, kurioje įmonių, tyrėjų ir viešojo administravimo institucijų naudai duomenys laisvai judėtų tarp sektorių visoje ES. Vienas iš svarbiausių duomenų strategijos tikslų – sukurti bendras Europos duomenų erdves, kurios palengvintų duomenų kaupimą, prieigą prie jų ir dalijimąsi jais. Asmens duomenų atžvilgiu BDAR suteikia pagrindą visoms iniciatyvoms, kuriomis siekiama stiprinti laisvą duomenų judėjimą Europos Sąjungoje, o tai yra ir vienas iš BDAR tikslų. Kalbant apie asmens duomenis, BDAR numatytos apsaugos nuostatos niekaip nesikeičia.

Duomenų valdymo aktas ( 143 ) ir Duomenų aktas ( 144 ) yra duomenų strategijos ramsčiai. Duomenų valdymo akte nurodytos konkrečios viešojo sektoriaus duomenų, apimančių ir asmens duomenis, pakartotinio naudojimo taisyklės, nustatyta duomenų tarpininkavimo paslaugų, įskaitant asmeninės informacijos valdymo paslaugas arba asmens duomenų debesijas, teisinė sistema, kad duomenų subjektai galėtų naudotis savo teisėmis pagal BDAR. Jame taip pat nustatomos duomenų naudojimo altruistiniais tikslais sąlygos. Duomenų akte nustačius techninius prieigos prie duomenų ir jų perkeliamumo reikalavimus sustiprinama duomenų subjektų kontrolė duomenų, kurie sugeneruojami naudojant jiems nuosavybės teise priklausančius, nuomojamus arba išperkamosios nuomos būdu įsigytus išmaniuosius objektus, atžvilgiu.

Europos sveikatos duomenų erdvė (ESDE) ( 145 ) atspindi konkrečius sveikatos duomenų sektoriuje nustatytus poreikius ir taip pat yra pagrįsta Bendruoju duomenų apsaugos reglamentu. Ji suteikia asmenims galimybę lengvai pasiekti savo sveikatos duomenis elektroniniu formatu ir jais dalytis su sveikatos priežiūros specialistais, be kita ko, kitose valstybėse narėse, todėl pagerinamas sveikatos priežiūros paslaugų teikimas, o pacientai gali geriau kontroliuoti savo duomenis. Ja taip pat nustatoma bendra teisinė sistema, skirta pakartotiniam sveikatos duomenų naudojimui tokiais tikslais kaip moksliniai tyrimai, inovacijos ir visuomenės sveikata, remiantis prieigos prie sveikatos duomenų įstaigos išduotu leidimu. Siekiant užtikrinti asmens duomenų apsaugą, ESDE užtikrins patikimą aplinką saugiai prieigai prie sveikatos duomenų ir jų tvarkymui. Įgyvendindama naują teisės aktų sistemą ir finansuodama konkretiems sektoriams skirtas iniciatyvas, Komisija toliau remia darbą 14 sektorių kuriant bendras Europos duomenų erdves.

6.3Naujų skaitmeninių taisyklių valdymas

Plėtojant skaitmeninius reglamentus atsiranda poreikis glaudžiai bendradarbiauti visose reguliavimo srityse ( 146 ). Toks bendradarbiavimas juo labiau būtinas, nes duomenų apsaugos klausimai vis labiau persipina, pvz., su konkurencijos teisės, vartotojų teisės, skaitmeninių rinkų taisyklių, elektroninių ryšių reguliavimo ir kibernetinio saugumo klausimais. Taip yra, pvz., vertinant modelių „mokėk arba sutik“ (angl. „pay or OK“) suderinamumą su ES teise.

Kai kuriais atvejais konkrečių naujų ES skaitmeninės srities teisės aktų nuostatų vykdymą užtikrinti pavedama duomenų apsaugos institucijoms ( 147 ). Siekiant garantuoti nuoseklų vykdymo užtikrinimą naujais skaitmeninės srities reglamentais, taip pat sukuriamos kompetentingas reguliavimo institucijas suburiančios specialios struktūros, pvz., Skaitmeninių rinkų akto aukšto lygio grupė, Europos duomenų inovacijų valdyba (įsteigta pagal Duomenų valdymo aktą) ir Europos skaitmeninių paslaugų valdyba (įsteigta pagal Skaitmeninių paslaugų aktą). TIS 2 direktyvoje ( 148 ) nustatytos išsamesnės taisyklės dėl reguliavimo institucijų ir duomenų apsaugos institucijų bendradarbiavimo tvarkant saugumo incidentus, kurie laikomi asmens duomenų saugumo pažeidimais.

Neskaitant šių oficialių struktūrų, duomenų apsaugos institucijos imasi veiksmų siekdamos užtikrinti, kad jų veiksmai papildytų kitas reguliavimo sritis ir derėtų su jomis. 2020 m. liepos mėn. vartotojų ir duomenų apsaugos institucijos sukūrė savanorių grupę, kad nustatytų geriausią praktiką ir dalytųsi vykdymo užtikrinimo patirtimi. Duomenų apsaugos institucijos toliau dalyvauja bendruose praktiniuose seminaruose su Bendradarbiavimo vartotojų apsaugos srityje tinklu. 2023 m. Valdyba įsteigė duomenų apsaugos, konkurencijos ir vartotojų apsaugos sąveikos darbo grupę.

Tai yra veiksmai teisinga linkme, tačiau reikia labiau struktūrizuotų ir veiksmingesnių bendradarbiavimo priemonių, visų pirma siekiant spręsti problemas, kurios daro poveikį daugeliui asmenų Europos Sąjungoje ir kurios yra susijusios su keliomis reguliavimo institucijomis ( 149 ). Visos tokios struktūros turėtų padėti užtikrinti, kad institucijos visada būtų atsakingos už visus klausimus, susijusius su taisyklių laikymusi jų kompetencijos srityse. Valstybės narės taip pat turėtų siekti užtikrinti, kad būtų tinkamai bendradarbiaujama nacionaliniu lygmeniu ( 150 ).

7Tarptautinis duomenų perdavimas ir pasaulinis bendradarbiavimas

7.1Duomenų perdavimo pagal BDAR priemonių rinkinys

Duomenų srautai tapo neatsiejama visuomenės skaitmeninės pertvarkos ir ekonomikos globalizacijos dalimi. Labiau nei bet kada privatumo užtikrinimas yra stabilių, saugių ir konkurencingų komercinių srautų sąlyga ir suteikia galimybę daugeliui tarptautinio bendradarbiavimo formų. BDAR V skyriuje numatytas duomenų perdavimo priemonių rinkinys suteikia įvairių priemonių, taikytinų skirtingomis duomenų perdavimo aplinkybėmis, ir padeda užtikrinti, kad išvykstant iš ES teritorijos ir toliau būtų taikoma duomenų aukšto lygio apsauga. 

Nuo 2020 m. ataskaitos pateikimo ES duomenų apsaugos teisės aktuose nustatyti duomenų perdavimo reikalavimai išsamiau paaiškinti, o duomenų perdavimo priemonių rinkinys toliau tobulinamas. Svarbus paaiškinimas yra susijęs su sąvoka „tarptautinis duomenų perdavimas“, kurią Valdyba ( 151 ) apibrėžė kaip apimančią bet kokį duomenų valdytojo arba duomenų tvarkytojo, kurio duomenų tvarkymui taikomas BDAR, atliekamą asmens duomenų atskleidimą kitam duomenų valdytojui arba duomenų tvarkytojui trečiojoje valstybėje, neatsižvelgiant į tai, ar duomenų tvarkymui BDAR yra taikomas ( 152 ). Šios Valdybos gairės buvo ypač svarbios siekiant užtikrinti teisinį tikrumą Europos duomenų valdytojams ir duomenų tvarkytojams situacijose, kuriose pagal BDAR V skyrių reikalinga duomenų perdavimo priemonė.

Papildomų paaiškinimų dėl apsaugos, kuri turi būti užtikrinta įvairiomis duomenų perdavimo priemonėmis, kad nebūtų pakenkta BDAR garantuojamam apsaugos lygiui ( 153 ), pateikė ir Teisingumo Teismas bylos Schrems II sprendime ( 154 ). Visų pirma šiomis priemonėmis turi būti užtikrinta, kad asmenims, kurių duomenys perduodami už ES ribų, būtų suteiktas toks apsaugos lygis, kuris iš esmės būtų lygiavertis Europos Sąjungoje garantuojamai apsaugai ( 155 ). ES duomenų eksportuotojas atsižvelgdamas į konkrečias savo vykdomų perdavimų aplinkybes privalo įvertinti, ar taip yra ( 156 ).

Siekdami įvertinti apsaugos lygį, duomenų eksportuotojai privalo atsižvelgti ir į duomenų apsaugos priemones, nustatytas duomenų perdavimo dokumente, sudarytame su ne ES duomenų importuotoju (pvz., sutartyje), ir į atitinkamus šalies, kurioje yra duomenų importuotojas, teisinės sistemos aspektus, visų pirma susijusius su galima tos šalies valdžios institucijų prieiga prie duomenų ( 157 ). Pastarasis aspektas turi būti vertinamas atsižvelgiant į BDAR 45 straipsnyje nustatytus tinkamumo vertinimo kriterijus. Teismas taip pat išsamiau paaiškino šiuos kriterijus, visų pirma taisykles dėl valdžios institucijų prieigos prie asmens duomenų teisėsaugos ir nacionalinio saugumo tikslais.

Šis aiškinimas atsispindėjo ir Valdybos gairėse, kuriose atnaujintos „tinkamumo nuorodos“ ( 158 ) (pateiktos gairės dėl elementų, į kuriuos Komisija turi atsižvelgti atlikdama tinkamumo vertinimą). Valdyba taip pat priėmė naujas gaires, kuriose: i) išsamiau paaiškinami elementai, į kuriuos turi atsižvelgti atskiri duomenų eksportuotojai vertindami apsaugos lygį; ii) pateikiama galimų šaltinių, kuriais galima naudotis, apžvalga; iii) nurodomi galimų papildomų priemonių (pvz., sutartinių ir techninių saugos garantijų) pavyzdžiai ( 159 ). Gairėse konkrečiai pabrėžiama, kad kiekvienas duomenų eksportuotojų atliekamas vertinimas yra unikalus, todėl jie turi atsižvelgti į konkrečias kiekvieno duomenų perdavimo ypatybes, kurios gali skirtis priklausomai nuo duomenų perdavimo tikslo, susijusių subjektų rūšių, sektoriaus, kuriame duomenys perduodami, perduodamų asmens duomenų kategorijų ir t. t. ( 160 ).

Atsižvelgiant į šiuos skirtingus tarptautinio duomenų perdavimo reikalavimų paaiškinimus, pastaraisiais metais imtasi reikšmingų veiksmų siekiant toliau plėtoti ir įgyvendinti BDAR duomenų perdavimo priemonių rinkinį.

7.1.1Sprendimai dėl tinkamumo

Kaip matyti ir iš suinteresuotųjų subjektų gautų atsiliepimų, sprendimai dėl tinkamumo ir toliau atlieka svarbų vaidmenį BDAR duomenų perdavimo priemonių rinkinyje ( 161 ), nes suteikia galimybę paprastai ir visapusiškai vykdyti duomenų perdavimą, o duomenų eksportuotojui nereikia nustatyti papildomų apsaugos priemonių arba gauti kokį nors leidimą. Šiais sprendimais sudaromos sąlygos laisvam asmens duomenų judėjimui, todėl jie ES prekiautojams suteikė komercinių galimybių, be kita ko, papildė prekybos susitarimus ir padidino jų naudą, taip pat palengvino bendradarbiavimą su užsienio partneriais įvairiose srityse – nuo bendradarbiavimo reglamentavimo klausimais iki mokslinių tyrimų.

Po 2020 m. ataskaitos paskelbimo toliau daugėjo šalių, priėmusių šiuolaikinius duomenų apsaugos teisės aktus, kuriuose, be kita ko, numatyti pagrindiniai duomenų apsaugos principai, asmens teisės ir veiksmingas nepriklausomų reguliavimo institucijų atliekamas vykdymo užtikrinimas. Dėl šios tendencijos ( 162 ) Komisija taip pat galėjo suintensyvinti savo darbą tinkamumo atžvilgiu. Tai apima priimtą sprendimą dėl tinkamos asmens duomenų apsaugos Jungtinėje Karalystėje ( 163 ), kuris yra labai svarbus siekiant užtikrinti tinkamą įvairių susitarimų, sudarytų su Jungtine Karalyste po „Brexit’o“, veikimą. Siekiant užtikrinti, kad sprendimas dėl tinkamumo būtų pritaikytas ateities poreikiams, į sprendimą dėl tinkamumo įtraukta laikinojo galiojimo išlyga, kuri nustos galioti 2025 m., tačiau galės būti atnaujinta, jei apsaugos lygis ir toliau bus tinkamas. Komisija taip pat priėmė sprendimą dėl tinkamos asmens duomenų apsaugos Korėjos Respublikoje ( 164 ), kuriuo papildomas ES ir Korėjos laisvosios prekybos susitarimas dėl asmens duomenų srautų ir palengvinamas bendradarbiavimas reguliavimo srityje. Pirmąją sprendimo dėl tinkamumo peržiūrą planuojama atlikti 2024 m. pabaigoje.

Be to, paskelbus negaliojančiu sprendimą dėl tinkamumo dėl ES ir JAV privatumo skydo, Komisija pradėjo derybas su Jungtinių Amerikos Valstijų (JAV) vyriausybe, kad parengtų kitą susitarimą laikantis Teismo išaiškintų reikalavimų ( 165 ). JAV Prezidentas priėmė naują vykdomąjį potvarkį dėl Jungtinių Valstijų signalų žvalgybos veiklos apsaugos priemonių griežtinimo, kuriuo nustatytos naujos privalomos ir vykdytinos apsaugos priemonės, siekiant užtikrinti, kad su duomenimis nacionalinio saugumo tikslais būtų galima susipažinti tik tiek, kiek tai būtina ir proporcinga, ir kad Europos gyventojai galėtų naudotis veiksmingomis teisių gynimo priemonėmis. Tuo remdamasi Komisija priėmė sprendimą dėl tinkamo asmens duomenų apsaugos lygio pagal ES ir JAV duomenų privatumo sistemą (DPS) ( 166 ), kuriuo leidžiama vykdyti laisvą asmens duomenų judėjimą tarp ES ir prie DPS prisijungiančių JAV įmonių. Kadangi JAV vyriausybės nacionalinio saugumo srityje nustatytos apsaugos priemonės taikomos visam duomenų perdavimui JAV įsikūrusioms bendrovėms, nepaisant naudojamo BDAR perdavimo mechanizmo, gerokai palengvėjo kitų priemonių, pvz., standartinių sutarčių sąlygų ir įmonėms privalomų taisyklių, naudojimas. 2024 m. vasarą bus atlikta pirmoji DPS veikimo peržiūra siekiant patikrinti, ar visi susiję elementai visiškai įgyvendinti JAV teisinėje sistemoje ir ar veiksmingai veikia praktikoje.

Šiuo metu vyksta derybos dėl tinkamumo su Brazilija ir Kenija, taip pat pirmą kartą – su keliomis tarptautinėmis organizacijomis (pvz., jau gerokai pažengusios derybos dėl tinkamumo su Europos patentų organizacija) ( 167 ). Atsižvelgdama ir į įvairių suinteresuotųjų subjektų raginimus ( 168 ), Komisija aktyviai dalyvavo tiriamosiose derybose su įvairių pasaulio regionų šalimis.

Komisija taip pat nuolat stebi pokyčius šalyse, kurių atžvilgiu jau priimtos palankios išvados dėl tinkamumo, ir periodiškai peržiūri esamus sprendimus vykdydama atitinkamas savo prievoles pagal Bendrąjį duomenų apsaugos reglamentą ( 169 ). 2023 m. balandžio mėn. Komisija priėmė ataskaitą dėl pirmosios Japonijos sprendimo dėl tinkamumo veikimo peržiūros ( 170 ), kurioje padaryta išvada, kad Japonija ir toliau užtikrina tinkamą apsaugos lygį ( 171 ). Peržiūros rezultatai parodė, kad priėmus abipusius sprendimus dėl tinkamumo pasiekta dar didesnė ES ir Japonijos duomenų apsaugos sistemų konvergencija.

Be to, kaip numatyta BDAR 97 straipsnyje, vykdant BDAR taikymo ir veikimo 2020 m. vertinimą buvo pradėta pirmoji pagal ankstesnę ES duomenų apsaugos sistemą (Duomenų apsaugos direktyvą) priimtų 11 sprendimų dėl tinkamumo peržiūra ( 172 ). Šio peržiūros aspekto užbaigimas buvo atidėtas, visų pirma siekiant atsižvelgti į Teisingumo Teismo sprendimą byloje Schrems II ir paskesnį Valdybos išaiškinimą. Pirmiau minėti Teismo paaiškinimai dėl pagrindinių tinkamumo standarto elementų paskatino išsamiai su atitinkamomis šalimis ir teritorijomis aptarti atitinkamus jų teisinės sistemos aspektus, taip pat priežiūros ir vykdymo užtikrinimo mechanizmus.

2024 m. sausio 15 d. Komisija paskelbė ataskaitą dėl šių 11 sprendimų kartu su išsamiomis šalių ataskaitomis, kuriose aprašomi pokyčiai kiekvienoje šalyje ir teritorijoje po sprendimų dėl tinkamumo priėmimo, taip pat taisyklės, taikomos valdžios institucijų prieigai prie duomenų, visų pirma teisėsaugos ir nacionalinio saugumo tikslais ( 173 ). Ataskaitoje daroma išvada, kad visos 11 šalių bei teritorijų ir toliau užtikrina tinkamą iš ES perduodamų asmens duomenų apsaugos lygį. Tai parodo, kad visos susijusios šalys ir teritorijos įvairiopai modernizavo ir sustiprino savo privatumo teisinę sistemą. Be to, siekiant pašalinti svarbius apsaugos lygio skirtumus ir kai to reikėjo sprendimų dėl tinkamumo pratęsimui užtikrinti, su kai kuriomis iš jų buvo derėtasi ir susitarta dėl papildomų apsaugos priemonių, taikomų iš Europos perduodamiems asmens duomenims.

Iš šių apžvalgų taip pat matyti, kad sprendimai dėl tinkamumo, užuot tapę galutiniu punktu, tapo pagrindu tvirtesniam ES ir šių bendraminčių partnerių bendradarbiavimui ir tolesnei reglamentavimo konvergencijai. Pvz., ataskaitoje dėl pirmosios Japonijos sprendimo dėl tinkamumo peržiūros pripažįstama, kad toliau stiprinant Japonijos duomenų apsaugos sistemas gali būti sudarytos sąlygos išplėsti sprendimo dėl tinkamumo taikymą ne tik komerciniams mainams, bet ir duomenų perdavimui, kuris šiuo metu į taikymo sritį nėra įtrauktas, pvz., bendradarbiavimo reguliavimo srityje ir mokslinių tyrimų srityje. Šiuo metu vyksta derybos dėl tokio galimo išplėstinio taikymo. Apskritai sprendimai dėl tinkamumo tapo strategine bendrų ES santykių su šiomis užsienio partnerėmis dalimi ir yra pripažįstami kaip vienas iš pagrindinių veiksnių stiprinant bendradarbiavimą įvairiose srityse.

Augantis šalių ir teritorijų, kurių atžvilgiu ES priėmė sprendimą dėl tinkamumo, tinklas ne tik suteikia tvirtą pagrindą glaudesniam dvišaliam bendradarbiavimui, bet ir naujų galimybių kuo labiau padidinti saugių ir laisvų duomenų srautų naudą ir glaudžiau bendradarbiauti su bendramintėmis partnerėmis duomenų apsaugos taisyklių vykdymo užtikrinimo srityje. Todėl 2024 m. kovo mėn. Komisija surengė pirmąjį aukšto lygio susitikimą dėl saugių duomenų srautų, kuriame dalyvavo atsakingi ministrai ir duomenų apsaugos institucijų vadovai iš 15 šalių ir teritorijų, kurių atžvilgiu ES yra priėmusi sprendimą dėl tinkamumo, o taip pat Europos duomenų apsaugos valdybos pirmininkas ( 174 ). Posėdyje buvo nustatyti keli konkretūs veiklos punktai, dėl kurių šioje grupėje vyksta tolesnis darbas.

Apskritai, kadangi Europos Komisijos priimti sprendimai dėl tinkamumo turi tinklo efektą, jie tampa vis aktualesni ir už ES ribų – jais sudaromos sąlygos laisvai keistis duomenimis ne tik su 30 EEE šalių, bet ir su daug daugiau viso pasaulio šalių ir teritorijų, kurios pagal savo duomenų apsaugos taisykles šalis, dėl kurių priimtas ES sprendimas dėl tinkamumo, pripažįsta saugiomis paskirties vietomis ( 175 ).

7.1.2Priemonės, kuriomis numatomos tinkamos apsaugos priemonės

Po 2020 m. ataskaitos paskelbimo parengta papildomų priemonių, kuriomis numatomos tinkamos apsaugos priemonės, ir pateiktos praktinės gairės, kad būtų lengviau jomis naudotis.

Kaip skelbta 2020 m. ataskaitoje, Komisija priėmė modernizuotas standartines sutarčių sąlygas ( 176 ), kurios buvo parengtos plačiai remiantis įvairių suinteresuotųjų subjektų atsiliepimais ( 177 ). Naujomis standartinėmis sutarčių sąlygomis pakeisti trys standartinių sutarčių sąlygų rinkiniai, priimti pagal Duomenų apsaugos direktyvą. Pagrindinės naujovės yra šios: i) atnaujintos apsaugos priemonės pagal Bendrąjį duomenų apsaugos reglamentą; ii) taikomas modulinis metodas, pagal kurį numatomas vieno langelio principas įvairiems perdavimo scenarijams; iii) didesnis lankstumas įvairioms šalims taikant standartines sutarčių sąlygas; iv) praktinis priemonių rinkinys, siekiant laikytis sprendimo byloje Schrems II.

Suinteresuotieji subjektai palankiai įvertino modernizuotas standartines sutarčių sąlygas, o gauti atsiliepimai patvirtina, kad standartinės sutarčių sąlygos vis dar yra dažniausiai ES duomenų eksportuotojų naudojama duomenų perdavimo priemonė ( 178 ). Siekdama padėti duomenų eksportuotojams laikytis reikalavimų, Komisija parengė klausimų ir atsakymų dokumentą, kuriame pateikiamos papildomos šių sąlygų taikymo gairės ( 179 ), kurios bus papildomai atnaujintos, jei kiltų naujų klausimų, be kita ko, atsižvelgiant į atsiliepimus, gautus atliekant šį vertinimą.

Daugelis duomenų eksportuotojų teigia, kad jiems kyla sunkumų atliekant perdavimo poveikio vertinimus, kurių reikalaujama bylos Schrems II sprendime, visų pirma jie nurodo tokių vertinimų sudėtingumą, taip pat sąnaudas ir laiką, kurių reikia jiems atlikti ( 180 ). Jie palankiai vertina Valdybos gaires ir standartines sutarčių sąlygas, tačiau ragina pateikti papildomų gairių (pvz., dėl susijusių šalių atsakomybės ir dėl reikiamo duomenų perdavimo poveikio vertinimų išsamumo lygio) ir papildomų priemonių, kurios padėtų atlikti tokius vertinimus (pvz., šablonų, bendrų šalių vertinimų, rizikos katalogų). Nors tokių suinteresuotųjų subjektų atsiliepimų daugiausia gauta apie standartines sutarčių sąlygas, tie patys vertinimai taip pat reikalingi ir kitoms perdavimo priemonėms (pvz., įmonei privalomoms taisyklėms). Todėl svarbu, kad Valdyba, remdamasi patirtimi, įgyta pastaraisiais metais taikant Schrems II reikalavimus, be kita ko, nacionalinėms duomenų apsaugos institucijoms vykdant vykdymo užtikrinimo veiklą, apsvarstytų būdus arba priemones, kurie dar labiau padėtų duomenų eksportuotojams laikytis reikalavimų šioje srityje.

Siekdama papildyti esamas standartines sutarčių sąlygas, Komisija rengia papildomus sąlygų rinkinius, kad ES duomenų eksportuotojams būtų pateiktas išsamus ir nuoseklus dokumentų rinkinys. Jie apims pagal Reglamentą (ES) 2018/1725 nustatytas standartines sutarčių sąlygas, taikomas ES institucijoms ir įstaigoms perduodant duomenis trečiųjų valstybių komercinės veiklos vykdytojams ( 181 ), ir standartines sutarčių sąlygas, taikomas perduodant duomenis trečiųjų šalių duomenų importuotojams, kurių duomenų tvarkymo operacijoms tiesiogiai taikomas BDAR. Pastarosiomis atsiliepiama į suinteresuotųjų subjektų raginimą konkrečiai numatyti atvejus, kai duomenų importuotojas patenka į teritorinę BDAR taikymo sritį (pavyzdžiui, dėl to, kad atitinkamas duomenų tvarkymas susijęs su ES rinka pagal BDAR 3 straipsnio 2 dalį) ( 182 ). Kaip paaiškino Valdyba, šiuo atveju taip pat reikalinga duomenų perdavimo priemonė pagal BDAR V skyrių, nes yra padidėjusi rizika už ES ribų tvarkomiems asmens duomenims, pvz., dėl galimos nacionalinės teisės aktų kolizijos arba neproporcingos vyriausybės prieigos trečiojoje valstybėje ( 183 ). Komisijos rengiamose naujose standartinėse sutarčių sąlygose bus įvertintas konkrečiai šis scenarijus ir bus visapusiškai atsižvelgta į reikalavimus, kurie pagal BDAR jau yra tiesiogiai taikomi tiems duomenų valdytojams ir duomenų tvarkytojams ( 184 ).

Kaip pripažįsta ir įvairių tipų suinteresuotieji subjektai ( 185 ), pavyzdinės sąlygos yra vis svarbesnės siekiant sudaryti palankesnes sąlygas duomenų srautams visame pasaulyje. Kelios jurisdikcijos patvirtino ES standartines sutarčių sąlygas kaip duomenų perdavimo mechanizmą pagal savo duomenų apsaugos teisės aktus su ribotais oficialiais jų nacionalinės teisinės tvarkos pritaikymais ( 186 ). Kelios kitos šalys yra priėmusios savo pavyzdines sąlygas, kurios turi svarbių bendrų bruožų su ES standartinėmis sutarčių sąlygomis ( 187 ). Ypač svarbus pavyzdys – tai, kad pavyzdines sąlygas parengė kitos tarptautinės arba regioninės organizacijos ar tinklai, pvz., Europos Tarybos 108-osios konvencijos konsultacinis komitetas, Iberijos pusiasalio ir Lotynų Amerikos duomenų apsaugos tinklas ir Pietryčių Azijos valstybių asociacija (ASEAN) ( 188 ). Tai suteikia naujų galimybių vadovaujantis pavyzdinėmis sąlygomis sudaryti palankesnes sąlygas duomenų srautams tarp įvairių pasaulio regionų. Konkretus pavyzdys – ES ir ASEAN vadovas dėl ES standartinių sutarčių sąlygų ir ASEAN pavyzdinės sąlygos, kurios, remiantis įmonių pateikta informacija, padeda joms siekti atitikties pagal abu sąlygų rinkinius ( 189 ).

Duomenų srautams tarp įmonių grupių narių arba tarp bendrą ekonominę veiklą vykdančių įmonių toliau plačiai taikomos įmonėms privalomos taisyklės, ne tik standartinės sutarčių sąlygos. Nuo BDAR taikymo pradžios Valdyba priėmė 80 teigiamų nuomonių dėl nacionalinių sprendimų, kuriais patvirtinamos įmonėms privalomos taisyklės ( 190 ). Valdyba taip pat paskelbė gaires dėl elementų, kurie turi būti įtraukti į duomenų valdytojams skirtas įmonėms privalomas taisykles ir dėl informacijos kuri turi būti pateikta taikant įmonėms privalomas taisykles; jos atnaujintos atsižvelgiant į BDAR reikalavimus ir sprendimą byloje Schrems II ( 191 ). Taip pat rengiamos duomenų tvarkytojams skirtos atnaujintos gairės dėl įmonėms privalomų taisyklių  ( 192 ). Kadangi įmonėms privalomomis taisyklėmis siekiama nustatyti privalomą duomenų apsaugos politiką arba programas įmonėse, daugelis suinteresuotųjų subjektų mano, kad jos yra ypač naudinga atitikties užtikrinimo priemonė ir patikima duomenų perdavimo priemonė ( 193 ). Tačiau suinteresuotieji subjektai vis dar tvirtina, kad plačiau taikyti įmonėms privalomas taisykles trukdo nacionalinių duomenų apsaugos institucijų vykdomo patvirtinimo proceso trukmė ir sudėtingumas. Todėl svarbu, kad valdžios institucijos toliau siektų patvirtinimo procesą supaprastinti ir sutrumpinti.

Po 2020 m. ataskaitos pateikimo taip pat imtasi veiksmų siekiant palengvinti sertifikavimo ir elgesio kodeksų, kaip perdavimo priemonių, naudojimą, pvz., Valdyba priėmė specialias gaires dėl šių abiejų priemonių ( 194 ). Tačiau suinteresuotieji subjektai praneša apie tas pačias problemas dėl patvirtinimo proceso terminų ir sudėtingumo, kaip ir pirmiau minėtos problemos dėl sertifikavimo ir elgesio kodeksų kaip atskaitomybės priemonių.

Galiausiai BDAR taip pat numatytos konkrečios priemonės (t. y. duomenų apsaugos institucijų patvirtinti tarptautiniai susitarimai ir administraciniai susitarimai), kurias turi naudoti valdžios institucijos, perduodamos asmens duomenis savo partnerėms trečiosiose šalyse arba tarptautinėms organizacijoms. Valdyba priėmė gaires dėl apsaugos priemonių, kurios turėtų būti įtrauktos į tokias priemones ( 195 ), jomis gali būti remiamasi derybose dėl tokių susitarimų ir tvarkos.

7.1.3Papildomumo su kitomis politikos sritimis užtikrinimas

Duomenų srautai tapo labai svarbūs daugybėje veiklos sričių, todėl itin svarbu užtikrinti, kad duomenų apsaugos ir kitų sričių politika papildytų vienos kitas. Duomenų apsaugos priemonių įtraukimas į tarptautinius teisės aktus dažnai yra ne tik išankstinė duomenų srautų sąlyga, bet ir svarbus stabilaus ir patikimo bendradarbiavimo veiksnys.

Pavyzdžiui, tarptautiniai susitarimai, kuriuose numatytos būtinos duomenų apsaugos priemonės, be kita ko, užtikrinant prašančiosios institucijos garantuojamą apsaugos tęstinumą, yra labai svarbūs siekiant užtikrinti pripažinimą ir sudaryti palankesnes sąlygas teisėsaugos institucijų tarpvalstybinei prieigai prie įmonių turimų elektroninių įrodymų ir tokiu būdu veiksmingiau kovoti su nusikalstamumu. Šis požiūris atsispindi Konvencijos dėl elektroninių nusikaltimų antrajame papildomame protokole ( 196 ), kuriuo sugriežtinamos galiojančios taisyklės dėl tarpvalstybinės prieigos prie elektroninių įrodymų gavimo vykdant nusikalstamų veikų tyrimus, kartu užtikrinant tinkamas duomenų apsaugos priemones. Kol kas protokolą pasirašė kelios ES valstybės narės. Taip pat vyksta dvišalės ES ir JAV derybos dėl susitarimo dėl tarpvalstybinės prieigos prie elektroninių įrodymų bendradarbiavimo baudžiamosiose bylose tikslais ( 197 ).

Keitimasis keleivio duomenų įrašo (PNR) duomenimis yra dar viena ES saugumo politikos sritis, kuriai naudingos parengtos tvirtos duomenų apsaugos priemonės. 2023 m. ES ir Kanada užbaigė derybas dėl naujo PNR susitarimo, atitinkančio Teisingumo Teismo nuomonėje Nr. 1/15 nustatytus reikalavimus ( 198 ). Panašios apsaugos priemonės įtrauktos į ES ir JK prekybos ir bendradarbiavimo susitarimo PNR skyrių. Į šiuos susitarimus įtraukus sustiprintą privatumo apsaugą, kuri gali būti būsimų susitarimų su kitais partneriais pavyzdys, oro vežėjams suteikiamas teisinis tikrumas ir kartu užtikrinami stabilūs svarbios informacijos mainai kovojant su terorizmu ir kitais sunkiais tarpvalstybiniais nusikaltimais.

Šiuo metu Pasaulio prekybos organizacijoje vykstančiose derybose dėl bendro pareiškimo iniciatyvos dėl elektroninės prekybos Komisija taip pat remia griežtas nuostatas, kuriomis siekiama apsaugoti privatumą ir skatinti skaitmeninę prekybą. Panašios nuostatos dėl kovos su nepagrįstomis skaitmeninės prekybos kliūtimis, kartu apsaugant būtiną susitarimų šalių politikos erdvę duomenų apsaugos srityje, nuosekliai įtrauktos į laisvosios prekybos susitarimus, kuriuos ES sudarė pradėjus taikyti BDAR, visų pirma į ES ir JK LPS ir į susitarimus su Čile, Japonija ir Naująja Zelandija. Privatumo ir duomenų srautų nuostatos taip pat aptariamos vykstančiose derybose dėl skaitmeninės prekybos su Singapūru ir Pietų Korėja.

7.2Tarptautinis bendradarbiavimas duomenų apsaugos srityje

7.2.1Dvišalis lygmuo

Komisija toliau palaiko dialogą su šalimis ir tarptautinėmis organizacijomis dėl privatumo taisyklių rengimo, reformos ir įgyvendinimo: be kita ko, teikia informaciją viešoms konsultacijoms dėl teisės aktų projektų ar reguliavimo priemonių privatumo srityje ( 199 ), viešai pasisako kompetentingose parlamentinėse institucijose ( 200 ) ir dalyvauja specialiuose susitikimuose su vyriausybių atstovais, parlamentinėmis delegacijomis bei reguliavimo institucijomis iš daugelio pasaulio regionų ( 201 ). Nemažai šių veiksmų buvo vykdoma įgyvendinant ES finansuojamą projektą „Sustiprinta duomenų apsauga ir duomenų srautai“, pagal kurį rengiant mokymus, dalijantis žiniomis, stiprinant gebėjimus ir keičiantis geriausia patirtimi remiamos šalys, ketinančios kurti modernias duomenų apsaugos sistemas arba stiprinti savo reguliavimo institucijų pajėgumus. Komisija taip pat prisidėjo prie kitų iniciatyvų, pavyzdžiui, ES ir CELAC skaitmeninio aljanso.

Duomenų apsauga ir toliau bus svarbi su plėtra susijusiame Komisijos darbe. ES duomenų apsaugos teisės aktai yra svarbi plėtros šalių pastangų suderinti savo ir ES teisines sistemas dalis (ypač dėl to, kad asmens duomenų tvarkymas ir keitimasis jais yra daugelio politikos sričių pagrindas). Be to, duomenų apsaugos institucijos nepriklausomumas ir tinkamas veikimas yra labai svarbus bendros stabdžių ir atsvarų sistemos ir teisinės valstybės elementas; šių veiksnių svarba vis didės Europos Sąjungai plėtros šalis palaipsniui integruojant į bendrąją rinką (kaip numatyta tokiose iniciatyvose kaip Vakarų Balkanų ekonomikos augimo planas).

ES dialogui su trečiosiomis šalimis vis svarbesnis aspektas yra reguliavimo institucijų tarpusavio mainai. Kaip skelbta 2020 m. ataskaitoje, Komisija įsteigė Duomenų apsaugos akademiją, kad paskatintų ES ir trečiųjų šalių duomenų apsaugos institucijų tarpusavio mainus ir taip prisidėtų prie gebėjimų stiprinimo ir bendradarbiavimo vietoje gerinimo. Trečiųjų šalių valdžios institucijų prašymu Akademija siūlo specialiai pritaikytus mokymus ir telkia teisėsaugos bendruomenės, akademinės bendruomenės, privačiojo sektoriaus ir Europos institucijų atstovų ekspertines žinias. Mokymų pridėtinė vertė yra susijusi su įvairių komponentų pritaikymu prašančiosios institucijos interesams ir poreikiams. Be to, šie mokymai suteikia galimybę ES ir trečiųjų šalių duomenų apsaugos institucijoms užmegzti ryšius, dalytis žiniomis, keistis patirtimi ir geriausios praktikos pavyzdžiais, taip pat nustatyti galimas bendradarbiavimo sritis. Akademija iki šiol surengė mokymus Indonezijos, Brazilijos, Kenijos, Nigerijos ir Ruandos duomenų apsaugos institucijoms ir šiuo metu rengia mokymus kelioms kitoms šalims.

Svarbu ne tik palaikyti reguliavimo institucijų dialogą, kaip pripažįstama ir Tarybos bei Valdybos atsiliepimuose ( 202 ); vis svarbiau parengti tinkamas teisines priemones glaudesniam bendradarbiavimui ir savitarpio pagalbai, be kita ko, sudarant sąlygas keistis būtina informacija, susijusia su tyrimais. Kadangi privatumo pažeidimai daro vis didesnį poveikį tarpvalstybiniu mastu, dažnai jie gali būti veiksmingai tiriami ir sprendžiami tik bendradarbiaujant ES ir ne ES reguliavimo institucijoms. Todėl Komisija prašys suteikti įgaliojimus pradėti derybas dėl bendradarbiavimo susitarimų vykdymo užtikrinimo srityje sudarymo su atitinkamomis trečiosiomis šalimis (kaip numatyta ir BDAR 50 straipsnyje). Šiuo atžvilgiu Komisija atkreipia dėmesį į Valdybos prašymą laikyti potencialiomis partnerėmis šalis, kuriose yra daugiausia veiklos vykdytojų, kuriems tiesiogiai taikomas BDAR, visų pirma G 7 šalis ir (arba) šalis, kurioms galioja sprendimai dėl tinkamumo ( 203 ).

Tokių su vykdymo užtikrinimu susijusių bendradarbiavimo ir savitarpio pagalbos susitarimų sudarymas taip pat padėtų užtikrinti, kad užsienio veiklos vykdytojai, kuriems taikomas BDAR (pvz., dėl to, kad siūlydami prekes ar paslaugas jie konkrečiai orientuojasi į ES rinką), laikytųsi reikalavimų ir kad būtų veiksmingai užtikrintas jų vykdymas. Taryba atkreipia dėmesį, kad tokiais atvejais svarbu užtikrinti BDAR laikymąsi, ir reiškia susirūpinimą dėl vienodų sąlygų ES subjektams sudarymo, taip pat dėl veiksmingos asmenų teisių apsaugos ( 204 ). Komisija pritaria Tarybos raginimui išnagrinėti įvairius būdus, kaip palengvinti vykdymo užtikrinimą tokiais atvejais. Nors formalesnės bendradarbiavimo su trečiųjų šalių reguliavimo institucijomis formos tikrai galėtų būti svarbios, reikėtų aktyviau naudoti ir kitas – jau turimas – galimybes. Be kita ko, tai apima visapusišką BDAR 58 straipsnio vykdymo užtikrinimo priemonių rinkinio naudojimą ir užsienio įmonių atstovų Europos Sąjungoje (paskirtų pagal BDAR 27 straipsnį) dalyvavimą.

7.2.2Daugiašalis aspektas

Siekdama propaguoti bendras vertybes ir stiprinti konvergenciją regionų ir pasaulio lygmenimis, Komisija taip pat toliau aktyviai dalyvauja keliuose tarptautiniuose forumuose.

Pavyzdžiui, aktyviai prisideda prie Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (Konvencija Nr. 108), kuri yra vienintelė teisiškai privaloma daugiašalė priemonė asmens duomenų apsaugos srityje, konsultacinio komiteto veiklos. Iki šiol Protokolą, kuriuo iš dalies keičiama Europos Tarybos 108-oji konvencija ( 205 ), yra ratifikavusi 31 valstybė, įskaitant daugelį ES valstybių narių ir kai kurias Europos Tarybai nepriklausančias šalis (Argentiną, Mauricijų ir Urugvajų). Iš ES valstybių narių dar nepasirašė tik viena valstybė narė ( 206 ), o aštuonios valstybės narės ( 207 ) atnaujintą konvenciją jau yra pasirašiusios, bet jos dar neratifikavo. Komisija primygtinai ragina vieną likusią valstybę narę pasirašyti atnaujintą konvenciją, o kitas valstybes nares – skubiai pereiti prie ratifikavimo, kad protokolas įsigaliotų artimiausiu metu. Be to, ji ir toliau aktyviai skatina jungtis trečiąsias šalis.

G 20 ir G 7 lygmeniu diskusijose dėl privatumo ir duomenų srautų daugiausia dėmesio skirta tam, kad būtų pradėta taikyti Japonijos iš pradžių pasiūlyta koncepcija „Laisvas duomenų judėjimas esant pasitikėjimui“, taip pripažįstant, kad duomenų apsauga ir saugumas gali prisidėti prie pasitikėjimo skaitmenine ekonomika ir sudaryti palankesnes sąlygas duomenų srautams ( 208 ). Šioje srityje EBPO atlieka itin svarbų vaidmenį: joje vyksta Laisvo duomenų judėjimo esant pasitikėjimui ekspertų bendruomenės forumas, kurio veikloje dalyvauja įvairūs suinteresuotieji subjektai (vyriausybės, reguliavimo institucijos, pramonė, pilietinė visuomenė, akademinė bendruomenė), siekdami prisidėti prie konkrečių projektų ir su Laisvu duomenų judėjimu esant pasitikėjimui susijusių klausimų. Be to, svarbus iniciatyvos „Laisvo duomenų judėjimo esant pasitikėjimui“, prie kurios labai prisidėjo Komisija, rezultatas yra tai, kad EBPO priėmė Deklaraciją dėl valdžios sektoriaus prieigos prie privačiojo sektoriaus subjektų turimų asmens duomenų – tai pirmoji tarptautinė priemonė šioje srityje. Joje nustatyti bendri reikalavimai, kuriais siekiama apsaugoti privatumą, kai su asmens duomenimis susipažįstama nacionalinio saugumo ir teisėsaugos tikslais. Atsižvelgiant į tai, jog visame pasaulyje vis labiau pripažįstama, kad neproporcinga valdžios sektoriaus prieiga daro neigiamą poveikį pasitikėjimui duomenų perdavimu, ši deklaracija yra svarbus indėlis sudarant palankesnes sąlygas patikimiems duomenų srautams. Komisija toliau skatins šalis prisijungti prie deklaracijos, prie kurios gali prisijungti ir EBPO nepriklausančios valstybės narės.

Komisija taip pat bendradarbiauja su įvairiomis regioninėmis organizacijomis ir tinklais, kurie formuoja bendras duomenų apsaugos priemones. Pavyzdžiui, su ASEAN, Afrikos Sąjunga, Azijos ir Ramiojo vandenyno šalių privatumo institucijų forumu, Iberijos pusiasalio ir Lotynų Amerikos duomenų apsaugos tinklu ir Afrikos duomenų apsaugos institucijų tinklu (NADPA–RADPD). Konkretus tokio vaisingo bendradarbiavimo pavyzdys – pirmiau minėto ES ir ASEAN pavyzdinių sąlygų vadovo parengimas.

Galiausiai Komisija palaiko dialogą su įvairiomis tarptautinėmis organizacijomis, be kita ko, siekdama rasti būdų, kaip sudaryti dar palankesnes sąlygas duomenų srautams tarp ES ir tokių organizacijų. Kadangi pastaraisiais metais daugelis organizacijų modernizavo arba šiuo metu modernizuoja savo duomenų apsaugos sistemas, taip pat randasi naujų galimybių keistis patirtimi ir geriausios praktikos pavyzdžiais. Šiuo atžvilgiu paaiškėjo, kad Europos duomenų apsaugos priežiūros pareigūno biuro rengiami metiniai praktiniai seminarai su tarptautinėmis organizacijomis ir specialia darbo grupe tarptautinio duomenų perdavimo klausimais yra ypač naudingi forumai, kuriuose keičiamasi konkrečiomis bendradarbiavimo priemonėmis ir tiriamos jų galimybės, įskaitant keitimąsi asmens duomenimis ( 209 ).

8Išvada

Per šešerius metus nuo BDAR taikymo pradžios asmenys įgijo daugiau galios, nes dabar gali kontroliuoti savo duomenis. Reglamentas taip pat padėjo sukurti vienodas sąlygas įmonėms ir suteikė pagrindą įvairioms iniciatyvoms, kurios skatina skaitmeninę pertvarką Europos Sąjungoje.

Norint visapusiškai įgyvendinti dvejopus BDAR tikslus – užtikrinti tvirtą asmenų apsaugą, o kartu ir laisvą asmens duomenų judėjimą ES ir saugius duomenų srautus už ES ribų, – būtina sutelkti dėmesį į keletą dalykų, tokių kaip:

·griežtas BDAR vykdymo užtikrinimas, pradedant nuo greito Komisijos pasiūlymo dėl procedūrinių taisyklių priėmimo, kad būtų užtikrintos greitai veikiančios teisių gynimo priemonės ir teisinis tikrumas bylose, turinčiose poveikį asmenims visoje ES;

·duomenų apsaugos institucijų aktyviai teikiama parama atitiktį siekiantiems užtikrinti suinteresuotiesiems subjektams, visų pirma MVĮ ir smulkiems veiklos vykdytojams;

·nuoseklus BDAR aiškinimas ir taikymas visoje ES;

·veiksmingas reguliavimo institucijų bendradarbiavimas nacionaliniu ir ES lygmenimis, siekiant užtikrinti nuoseklų ir darnų vis gausėjančių ES skaitmeninių taisyklių taikymą;

·tolesnis Komisijos tarptautinės duomenų apsaugos strategijos plėtojimas.

Siekiant padėti veiksmingai taikyti BDAR ir pagrįsti tolesnius svarstymus dėl duomenų apsaugos, reikia imtis kelių čia nurodytų veiksmų. Komisija rems ir stebės jų įgyvendinimą, be kita ko, rengdama kitą ataskaitą 2028 m. 

Veiksmingų bendradarbiavimo struktūrų kūrimas

Europos Parlamento ir Tarybos prašoma skubiai priimti pasiūlymą dėl BDAR procedūrinių taisyklių.

Valdyba ir duomenų apsaugos institucijos raginamos:

-užmegzti reguliarų bendradarbiavimą su kitomis sektorių reguliavimo institucijomis duomenų apsaugai poveikį darančiais klausimais, visų pirma tais, kurie nustatyti pagal naujus ES skaitmeninės srities teisės aktus, ir aktyviai dalyvauti ES lygmens struktūrose, sukurtose siekiant palengvinti reguliavimo institucijų bendradarbiavimą;

-visapusiškiau naudotis BDAR numatytomis bendradarbiavimo priemonėmis, kad ginčų sprendimas būtų taikomas tik kraštutiniu atveju;

-įgyvendinti veiksmingesnę ir tikslingesnę su gairėmis, nuomonėmis ir sprendimais susijusią darbo tvarką ir teikti pirmenybę svarbiausiems klausimams, kad būtų sumažinta duomenų apsaugos institucijoms tenkanti našta ir būtų greičiau reaguojama į rinkos pokyčius.

Valstybės narės turi:

-užtikrinti visišką faktinį nacionalinių duomenų apsaugos institucijų nepriklausomumą;

-skirti pakankamai išteklių duomenų apsaugos institucijoms, kad jos galėtų vykdyti savo užduotis, visų pirma joms suteikti techninių išteklių ir ekspertinių žinių, reikalingų darbui su besiformuojančioms technologijoms ir naujoms pareigoms pagal skaitmeninės srities teisės aktus vykdyti;

-aprūpinti duomenų apsaugos institucijas tyrimo priemonėmis, kurių joms reikia, kad galėtų veiksmingai naudotis BDAR numatytais vykdymo užtikrinimo įgaliojimais;

-remti duomenų apsaugos institucijų ir kitų nacionalinių reguliavimo institucijų, visų pirma įsteigtų pagal naujus skaitmeninės srities teisės aktus, dialogą.

Komisija:

-aktyviai padės teisėkūros institucijoms greitai priimti pasiūlymą dėl BDAR procedūrinių taisyklių;

-toliau atidžiai stebės, kaip užtikrinamas visiškas faktinis nacionalinių duomenų apsaugos institucijų nepriklausomumas;

-stiprins BDAR ir visų su asmens duomenų tvarkymu susijusių teisės aktų sąveiką ir nuoseklumą remiantis patirtimi ir prireikus imsis tinkamų veiksmų teisiniam tikrumui užtikrinti;

-apsvarstys, kaip geriau siekti būtino struktūrizuoto ir veiksmingo reguliavimo institucijų bendradarbiavimo, kad būtų užtikrintas veiksmingas, nuoseklus ir darnus ES skaitmeninės srities taisyklių taikymas, kartu tinkamai atsižvelgiant į duomenų apsaugos institucijų kompetenciją visais su asmens duomenų tvarkymu susijusiais klausimais.

Teisinės sistemos įgyvendinimas ir pildymas

Valstybės narės turi:

-užtikrinti, kad prieš priimant teisės aktus dėl asmens duomenų tvarkymo būtų laiku konsultuojamasi su duomenų apsaugos institucijomis.

Komisija:

-toliau naudosis visomis turimomis priemonėmis, įskaitant pažeidimo nagrinėjimo procedūras, siekdama užtikrinti, kad valstybės narės laikytųsi BDAR;

-toliau rems valstybių narių keitimąsi nuomonėmis ir nacionaline praktika, be kita ko, pasitelkdama BDAR valstybių narių ekspertų grupę;

-imsis veiksmų siekdama užtikrinti, kad internete vaikai būtų apsaugoti, įgalinti ir gerbiami;

-apsvarstys galimus tolesnius veiksmus, susijusius su pasiūlymu dėl Skaitmeninių duomenų privatumo reglamento, įskaitant jo ryšį su BDAR.

Parama suinteresuotiesiems subjektams

Valdyba ir duomenų apsaugos institucijos raginamos:

-vykdyti konstruktyvų dialogą su duomenų valdytojais ir duomenų tvarkytojais dėl BDAR laikymosi;

-toliau didinti pastangas siekiant padėti MVĮ užtikrinti atitiktį: teikti joms specialiai pritaikytas gaires ir priemones, šalinti visus nepagrįstus susirūpinimą dėl atitikties keliančius klausimus, kylančius MVĮ, kurių pagrindinis verslas nėra asmens duomenų tvarkymas, ir padėti joms laikytis reikalavimų;

-padėti įmonėms įgyvendinti veiksmingas atitikties užtikrinimo priemones, pvz., sertifikavimą ir elgesio kodeksus (be kita ko, kaip perdavimo priemones): bendradarbiauti su suinteresuotaisiais subjektais per patvirtinimo procesą, nustatyti aiškius patvirtinimo terminus ir, kaip įsipareigota Valdybos 2024–2027 m. strategijoje, paaiškinti pagrindinėms suinteresuotųjų subjektų grupėms, kaip šios priemonės gali būti naudojamos;

-užtikrinti, kad nacionalinės gairės ir BDAR taikymas nacionaliniu lygmeniu atitiktų Valdybos gaires ir Teisingumo Teismo praktiką;

-suderinti skirtingų duomenų apsaugos institucijų, be kita ko, tos pačios valstybės narės institucijų, BDAR aiškinimus;

-pateikti glaustas, praktiškas ir atitinkamai auditorijai prieinamas gaires, kaip įsipareigota Valdybos 2024–2027 m. strategijoje;

-užtikrinti ankstyvesnes ir prasmingesnes konsultacijas dėl gairių ir nuomonių, kad būtų lengviau suprasti rinkos dinamiką ir verslo praktiką, tinkamai atsižvelgti į gautus atsiliepimus ir turėti omeny konkretų priimtų aiškinimų taikymą;

-prioritetine tvarka užbaigti vykdomą darbą, susijusį su gairėmis dėl vaikų duomenų, mokslinių tyrimų, anoniminimo, pseudoniminimo ir teisėto intereso;

-stiprinti informuotumo didinimo, informavimo ir vykdymo užtikrinimo veiksmus, kad duomenų apsaugos pareigūnai galėtų atlikti savo vaidmenį pagal BDAR.

Komisija:

-toliau teiks finansinę paramą duomenų apsaugos institucijų veiklai, kuria sudaromos palankesnės sąlygos MVĮ vykdyti prievoles pagal BDAR;

-pasinaudos visomis turimomis priemonėmis, kad būtų pateikti tinkami paaiškinimai suinteresuotiesiems subjektams, įskaitant MVĮ, svarbiais klausimais, visų pirma prašant Valdybos teikti nuomones.

Tolesnis duomenų perdavimo ir tarptautinio bendradarbiavimo priemonių rinkinio plėtojimas

Valdyba ir duomenų apsaugos institucijos raginamos:

-užbaigti darbą, susijusį su įmonėms privalomų taisyklių patvirtinimo proceso supaprastinimu ir sutrumpinimu, taip pat su gairių dėl duomenų tvarkytojų įmonėms privalomų taisyklių elementų atnaujinimu;

-išnagrinėti būdus arba priemones, kaip papildomai padėti duomenų eksportuotojams laikytis „Schrems II“ reikalavimų;

-išnagrinėti, kaip dar galima užtikrinti veiksmingą vykdymo užtikrinimą trečiosiose šalyse įsisteigusių veiklos vykdytojų, kuriems taikoma BDAR teritorinė taikymo sritis, atžvilgiu.

Valstybės narės turi:

-užtikrinti, kad būtų kuo greičiau pasirašyta ir ratifikuota atnaujinta Europos Tarybos 108-oji konvencija, kad ji galėtų įsigalioti.

Komisija:

-toliau darys pažangą vykstančiose derybose dėl tinkamumo, ieškos būdų toliau plėtoti esamas išvadas dėl tinkamumo ir sieks naujo dialogo dėl tinkamumo su suinteresuotaisiais partneriais;

-rems aktyvesnį šalių, kurios naudojasi sprendimais dėl tinkamumo, tinklo bendradarbiavimą;

-užbaigs darbą dėl papildomų standartinių sutarčių sąlygų, visų pirma dėl duomenų perdavimo duomenų importuotojams, kurių vykdomam tvarkymui tiesiogiai taikomas BDAR, ir duomenų perdavimo pagal Reglamentą (ES) 2018/1725, kai duomenis perduoda ES institucijos ir įstaigos;

-bendradarbiaus su tarptautiniais partneriais dėl palankesnių sąlygų duomenų srautams remiantis pavyzdinėmis sutarčių sąlygomis;

-dalydamasi patirtimi ir geriausia praktika rems trečiosiose valstybėse vykdomas reformas dėl naujų ar modernizuotų duomenų apsaugos taisyklių priėmimo;

-bendradarbiaus su tarptautinėmis ir regioninėmis organizacijomis, pavyzdžiui, EBPO ir G 7, kad skatintų patikimą duomenų judėjimą pagal aukštus duomenų apsaugos standartus, taip pat įgyvendinant iniciatyvą „Duomenų judėjimas esant pasitikėjimui“;

-palengvins ir rems Europos ir tarptautinių reguliavimo institucijų tarpusavio mainus, be kita ko, per savo Duomenų apsaugos akademiją;

-be kita ko, vykdydama derybas dėl bendradarbiavimo ir tarpusavio pagalbos susitarimų, padės sudaryti palankias sąlygas tarptautiniam priežiūros institucijų bendradarbiavimui siekiant užtikrinti teisės aktų vykdymą.

(1) ()    Duomenų apsauga kaip daugiau galių suteikimo piliečiams ir ES požiūrio į perėjimą prie skaitmeninių technologijų pagrindas – dveji Bendrojo duomenų apsaugos reglamento (2020 6 24, COM(2020) 264 final) taikymo metai.

(2) ()     https://data.consilium.europa.eu/doc/document/ST-15507-2023-INIT/lt/pdf .

(3) ()    BDAR įvairių suinteresuotųjų subjektų ekspertų grupės pateiktos informacijos santrauka ( Report from Multistakeholder Expert group on GDPR application - June 2024.pdf ). Informacija, gauta reaguojant į viešą kvietimą teikti informaciją ir dvišaliuose susitikimuose su suinteresuotaisiais subjektais, iš esmės atitinka BDAR įvairių suinteresuotųjų subjektų ekspertų grupės narių išreikštas nuomones.

(4) ()     https://ec.europa.eu/info/law/better-regulation/have-your-say_lt .

(5) ()     Contribution of the EDPB to the evaluation of the GDPR under Article 97 | European Data Protection Board (europa.eu) .

(6) ()     GDPR in practice – Experiences of data protection authorities | European Union Agency for Fundamental Rights (europa.eu) .

(7) ()    Pasiūlymas dėl Europos Parlamento ir Tarybos reglamento, kuriuo nustatomos papildomos procedūrinės taisyklės, susijusios su Reglamento (ES) 2016/679 (COM/2023/348 final) vykdymo užtikrinimu.

(8) ()     https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-eu-commission-procedural-aspects-could-be_lt .

(9) ()    BDAR įvairių suinteresuotųjų subjektų ekspertų grupės ir 2023 m. vasario mėn. paskelbto kvietimo teikti informaciją autorių.

(10) ()    Visų pirma BDAR valstybių narių ekspertų grupės ( https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=lt&do=groupDetail.groupDetail&groupID=3461 ).

(11) ()    BDAR 61 straipsnis.

(12) ()     internal_edpb_document_1_2021_on_art_62_joint_operations_en.pdf (europa.eu)  

(13) ()    BDAR 62 straipsnis.

(14) ()    BDAR 65 straipsnis.

(15) ()    Nuo 2023 m. lapkričio 3 d. (Valdybos nuomonė).

(16) ()    Pagal BDAR 60 straipsnio 3 dalį.

(17) ()    Nuo 2023 m. lapkričio 3 d.

(18) ()    Daugiausia oficialių prašymų (246) pateikė Airijos institucija, o daugiausia prašymų (516) gavo Vokietijos institucijos.

(19) ()    Daugiausia neoficialių prašymų (4 245) pateikė Airijos institucija, antros pagal skaičių buvo Vokietijos institucijos (2 036).

(20) ()    Iš institucijų pateiktų 289 tinkamų ir pagrįstų prieštaravimų 101 (35 proc.) pateikė Vokietijos institucijos. Bendrą sutarimą dėl tinkamų ir pagrįstų prieštaravimų pavyko pasiekti nuo 15 proc. (Vokietijos institucijų pareikštų prieštaravimų) iki 100 proc. (Lenkijos institucijos pareikštų prieštaravimų) atvejų.

(21)

()    Atitinkamai BDAR 64, 65 ir 66 straipsniai.

(22) ()    Nuomonės pagal BDAR 64 straipsnio 2 dalį.

(23)

()    Pagal BDAR 65 straipsnio 1 dalies a punktą.

(24) ()    Pagal GDPR 66 straipsnio 2 dalį.

(25) ()    Žr. 5.3.4 Valdybos nuomonę.

(26) ()    FRA ataskaita, p. 36.

(27) ()    Pasiūlymas dėl procedūrinių taisyklių, 5 straipsnis.

(28) ()    Rumunijoje teisme buvo užginčyti visi 26 sprendimai, kuriais buvo nustatytas pažeidimas, o Nyderlanduose buvo užginčyta 23 proc. sprendimų. Daugiausia sėkmingo užginčijimo atvejų užfiksuota Belgijoje (39 proc.).

(29) ()    Daugiausia tyrimų savo iniciatyva pradėjo duomenų apsaugos institucijos Vokietijoje (7 647), Vengrijoje (3 332), Austrijoje (1 681) ir Prancūzijoje (1 571).

(30) ()    2022 m. devynios duomenų apsaugos institucijos gavo daugiau kaip 2 000 skundų. Daugiausia skundų užregistruota Vokietijoje (32 300), Italijoje (30 880), Ispanijoje (15 128), Nyderlanduose (13 133) ir Prancūzijoje (12 193), o mažiausiai – Lichtenšteine (40), Islandijoje (140) ir Kroatijoje (271).

(31) ()    Visos institucijos skyrė administracinių baudų, išskyrus Daniją, kurioje administracinių baudų nenumatyta. Daugiausia baudų skirta Vokietijoje (2 106) ir Ispanijoje (1 596). Mažiausiai baudų skirta Lichtenšteine (3), Islandijoje (15) ir Suomijoje (20).

(32) ()    FRA ataskaita, p. 38.

(33) ()    FRA ataskaita, p. 20 ir 23. Taip pat žr. Tarybos pozicijos ir išvadų 17 dalį.

(34) ()    BDAR 70 straipsnio 1 dalis.

(35) ()    FRA ataskaita, p. 64.

(36) ()    FRA ataskaita, p. 67. 2023 m. Valdybos veiklai daugiausia išteklių skyrė Vokietijos duomenų apsaugos institucijos (26 etato ekvivalentai), po jos – Airija (16) ir Prancūzija (12) (Valdybos nuomonė).

(37) ()    FRA ataskaita, p. 67.

(38) ()    FRA ataskaita, p. 67; BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauka.

(39) ()    BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauka.

(40) ()    Taip pat žr. Tarybos pozicijos ir išvadų 45 dalį.

(41) ()    Taip pat žr. Tarybos pozicijos ir išvadų 34 dalį.

(42) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .

(43) ()    Taip pat žr. Tarybos pozicijos ir išvadų 31 dalies d punktą.

(44) ()    Joms reikia aiškumo, visų pirma dėl termino „moksliniai tyrimai“ reikšmės, sutikimo tvarkyti asmens duomenis mokslinių tyrimų tikslais vaidmens, susijusio teisinio pagrindo ir dalyvaujančių subjektų vaidmens bei atsakomybės.

(45) ()    Taip pat žr. Tarybos pozicijos ir išvadų 31 dalies b punktą.

(46) ()    Tarybos pozicija ir išvados, 27–28 dalys.

(47) ()    BDAR 52 straipsnis.

(48) ()    FRA ataskaita, p. 31.

(49) ()    Žr. Valdybos nuomonės 4.4.1 skirsnį, kuriame taip pat pateikiami absoliutūs skaičiai.

(50) ()    Tik penkios duomenų apsaugos institucijos mano, kad žmogiškųjų išteklių turi pakankamai (Valdybos nuomonė, p. 33).

(51) ()    FRA ataskaita, p. 20. Kai kurios duomenų apsaugos institucijos tam tikras užduotis, pvz., skundų nagrinėjimo, teisinės analizės ir teismo ekspertizės, paveda išorės rangovams.

(52) ()    FRA ataskaita, p. 24.

(53) ()    FRA ataskaita, p. 22.

(54) ()    Žr. Valdybos nuomonės 4.4.5 skirsnį.

(55) ()    Valdybos nuomonė, p. 32.

(56) ()    FRA ataskaita, p. 48.

(57) ()    FRA ataskaita, p. 45. Duomenų apsaugos institucijų manymu ex officio tyrimai yra ypač svarbūs, nes apie daugelį BDAR pažeidimų skundo pateikėjai gali nežinoti.

(58) ()    FRA ataskaita, p. 8.

(59) ()    FRA ataskaita, p. 39.

(60) ()    FRA ataskaita, p. 41.

(61) ()    BDAR 9 konstatuojamoji dalis.

(62) ()    BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauka.

(63) ()    BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauka.

(64) ()    BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauka.

(65) ()    Atitinkamai BDAR 6 straipsnio 1 dalies f punktas ir 6 straipsnio 1 dalies a punktas.

(66) ()    BDAR 22 straipsnio 2 dalis.

(67) ()    4 konstatuojamoji dalis.

(68) ()    BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauka. 

(69) ()    Pvz., dėl vaiko, kuriam siūlomos informacinės visuomenės paslaugos, sutikimui reikalingo minimalaus amžiaus (BDAR 8 straipsnio 1 dalis).

(70) ()    BDAR 8 straipsnio 1 dalis.

(71) ()    BDAR 9 straipsnio 4 dalyje numatyta galimybė.

(72) ()    BDAR 10 straipsnis.

(73) ()    Tarybos pozicija ir išvados, 30 dalis.

(74) ()    BDAR 36 straipsnis.

(75) ()    FRA ataskaita, p. 11.

(76) ()    Belgija (2021/4045) ir Belgija (2022/2160).

(77) ()    Suomija (2022/4010) ir Švedija (2022/2022).

(78) ()    Pateikiant informaciją apie bylos numerį, tyrimo tipą (savo iniciatyva arba pagal skundą), tyrimo apimties santrauką, susijusias duomenų apsaugos institucijas, pagrindinius atliktus procedūrinius veiksmus ir datas, tiriamąsias ar bet kokias kitas taikytas priemones ir datas.

(79) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=lt&do=groupDetail.groupDetail&groupID=3461 .

(80) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=lt&meetingId=31754&fromExpertGroups=3461 .

(81) ()    Byla C‑319/22, ECLI:EU:C:2023:837.

(82) ()    Bylos C-184/20, ECLI:EU:C:2022:601; C-252/21, ECLI:EU:C:2023:537.

(83) ()    Bylos C-683/21, ECLI:EU:C:2023:949; C-604/22, ECLI:EU:C:2024:214; C-231/22, ECLI:EU:C:2024:7.

(84) ()    Byla C-61/19, ECLI:EU:C:2020:901.

(85) ()    Bylos C-597/19, ECLI:EU:C:2021:492; C-252/21, ECLI:EU:C:2023:537.

(86) ()    Bylos C-307/22, ECLI:EU:C:2023:811; C-154/21, ECLI:EU:C:2023:3.

(87) ()    Byla C-460/20, ECLI:EU:C:2022:962.

(88) ()    Byla C-300/21, ECLI:EU:C:2023:370; Byla C-687/21, ECLI:EU:C:2024:72; Byla C-667/21, ECLI:EU:C:2023:1022.

(89) ()    Sujungtos bylos C‑26/22 ir C‑64/22, ECLI:EU:C:2023:958.

(90) ()    Bylos C-807/21, ECLI:EU:C:2023:950; Byla C-683/21, ECLI:EU:C:2023:949.

(91) ()    Byla C‑453/21, ECLI:EU:C:2023:79.

(92) ()    Bylos C-439/19, ECLI:EU:C:2021:504; C-184/20, ECLI:EU:C:2022:601.

(93) ()    Bylos C-33/22, ECLI:EU:C:2024:46; C‑272/19, ECLI:EU:C:2020:535.

(94) ()    Tarybos pozicija ir išvados, 13 dalis.

(95) ()    Valdybos nuomonė, 6 skirsnis.

(96) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en?prefLang=lt .

(97) ()    FRA ataskaita, p. 9 ir 48.

(98) ()    BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauka.

(99) ()    10 straipsnis, Reglamentas (ES) 2022/868 (Duomenų valdymo aktas), OL L 152, 2022 6 3, p. 1–44.

(100) ()    BDAR 12 straipsnio 5 dalis.

(101) ()    Vis dėlto, Teisingumo Teismas išaiškino, kad duomenų subjektas neprivalo nurodyti prašymo leisti susipažinti su asmens duomenimis priežasčių (byla C-307/22, ECLI:EU:C:2023:811, 38 dalis).

(102) ()    BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauka. 

(103) ()    Tarybos pozicija ir išvados, 27–28 dalys.

(104) ()     https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_lt .

(105) ()     Skaitmeninių platformų darbuotojai. Taryba patvirtino susitarimą dėl naujų taisyklių, kuriomis būtų pagerintos jų darbo sąlygos .

(106) ()    Pasiūlymas dėl Europos bendros sveikatos duomenų erdvės (COM/2022/197 final).

(107) ()    Pasiūlymas dėl reglamento dėl prieigos prie finansinių duomenų sistemos, kuriuo iš dalies keičiami reglamentai (ES) Nr. 1093/2010, (ES) Nr. 1094/2010, (ES) Nr. 1095/2010 ir (ES) 2022/2554 (COM/2023/360 final).

(108) ()    2020 m. lapkričio 25 d. Direktyva (ES) 2020/1828 dėl atstovaujamųjų ieškinių siekiant apsaugoti vartotojų kolektyvinius interesus, kuria panaikinama Direktyva 2009/22/EB, OL 409, 2020 12 4, p. 1–27.

(109) ()    BDAR 38 konstatuojamoji dalis.

(110) ()    Rekomendacija dėl integruotųjų vaiko apsaugos sistemų kūrimo ir stiprinimo atsižvelgiant į vaiko interesus ( https://commission.europa.eu/strategy-and-policy/policies/justice-and-fundamental-rights/rights-child/combating-violence-against-children-and-ensuring-child-protection_lt ). 

(111) ()    Taip pat žr. Tarybos pozicijos ir išvadų 31 dalies a punktą.

(112) ()    BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauka. 

(113) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en?prefLang=lt .

(114) ()     https://digital-strategy.ec.europa.eu/lt/policies/strategy-better-internet-kids .

(115) ()    Reglamentas (ES) 2024/1183, kuriuo dėl Europos skaitmeninės tapatybės sistemos nustatymo iš dalies keičiamas Reglamentas (ES) Nr. 910/2014, OL L 2024/1183, 2024 4 30.

(116) ()    Kaip pripažįstama ataskaitoje dėl Ateičiai tinkamo reglamentavimo platformos, siekiant padėti Komisijai paprastinti ES teisės aktus ir mažinti susijusias nereikalingas išlaidas, sudaryta aukšto lygio ekspertų grupė ( https://commission.europa.eu/law/law-making-process/evaluating-and-improving-existing-laws/refit-making-eu-law-simpler-less-costly-and-future-proof/fit-future-platform-f4f_lt ). Taip pat žr. BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauką ir Tarybos pozicijos bei išvadų 12 dalį.

(117) ()    BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauka.

(118) ()    2021 m. birželio 4 d. Komisijos įgyvendinimo sprendimas (ES) 2021/915 dėl duomenų valdytojų ir duomenų tvarkytojų standartinių sutarčių sąlygų pagal BDAR 28 straipsnio 7 dalį ir BDAR 29 straipsnio 7 dalį (C/2021/3701), OL L 199, 2021 6 7, p. 18–30.

(119) ()    BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauka.

(120) ()    Tarybos pozicija ir išvados, 25 dalis.

(121) ()     https://www.edpb.europa.eu/our-work-tools/accountability-tools/register-codes-conduct-amendments-and-extensions-art-4011_lt?f%5B0%5D=coc_scope%3Anational .

(122) ()    BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauka.

(123) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .

(124) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en?prefLang=lt .

(125) ()     https://edpb.europa.eu/sme-data-protection-guide/home_en .

(126) ()    BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauka.

(127) ()    Žr. Tarybos pozicijos ir išvadų 24 dalį; BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauka.

(128) ()    BDAR 30 straipsnio 5 dalis.

(129) ()    Kai organizacijoje dirba mažiau nei 250 darbuotojų, nebent dėl jos vykdomo duomenų tvarkymo gali kilti pavojus duomenų subjektų teisėms ir laisvėms, duomenų tvarkymas nėra nereguliarus arba apima specialių kategorijų asmens duomenų tvarkymą, kaip nurodyta BDAR 9 straipsnio 1 dalyje, ar asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymą, kaip nurodyta BDAR 10 straipsnyje.

(130) ()    Tarybos pozicija ir išvados, 26 dalis; EDPB 2023 Coordinated Enforcement Action Designation and Position of Data Protection Officers ( https://www.edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf ).

(131) ()    BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauka.

(132) ()    Žr. Europos duomenų apsaugos valdybos tikslinės patikros rekomendacijas.

(133) ()    2022 m. spalio 19 d. Europos Parlamento ir Tarybos reglamentas (ES) 2022/2065 dėl bendrosios skaitmeninių paslaugų rinkos, kuriuo iš dalies keičiama Direktyva 2000/31/EB (Skaitmeninių paslaugų aktas) OL L 277, 2022 10 27, p. 1–102.

(134) ()    Reglamentas (ES) 2022/1925 (Skaitmeninių rinkų aktas), OL L 265, 2022 10 12, p. 1–66.

(135) ()    Reglamentas (ES) 2024/1689 (Dirbtinio intelekto aktas) OL L, 2024/1689, 2024 7 12.

(136) ()     Skaitmeninių platformų darbuotojai: Taryba patvirtino susitarimą dėl naujų taisyklių, kuriomis būtų pagerintos jų darbo sąlygos .

(137) ()    Reglamentas (ES) 2024/900 dėl politinės reklamos skaidrumo ir atrankiojo adresavimo, OL L 2024/900, 2024 3 20.

(138) ()    Pasiūlymas dėl reglamento dėl privatumo ir elektroninių ryšių, COM 2017/010 final.

(139) ()    Direktyva 2002/58/EB (E. privatumo direktyva), OL L 201, 2002 07 31, p. 37–47.

(140)

()    Reglamentas (ES) 2024/903 (Europos sąveikumo aktas) OL L, 2024/903, 2024 3 22.

(141) ()    Žr. Tarybos pozicijos ir išvadų 31 dalies f punktą.

(142) ()     https://finance.ec.europa.eu/publications/anti-money-laundering-and-countering-financing-terrorism-legislative-package_en?prefLang=lt .

(143) ()    Reglamentas (ES) 2022/868 (Duomenų valdymo aktas), OL L 152, 2022 6 3, p. 1–44.

(144) ()    Reglamentas (ES) 2023/2854 (Duomenų aktas) OL L, 2023/2854, 2023 12 22.

(145) ()     https://www.europarl.europa.eu/doceo/document/TA-9-2024-0331_LT.html .

(146) ()    Žr. Tarybos pozicijos ir išvadų 40–41 dalis; BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauka.

(147) ()    Žr., pavyzdžiui, Duomenų akto 37 straipsnio 3 dalį.

(148) ()    Direktyva (ES) 2022/2555 (TIS 2 direktyva), OL L 333, 2022 12 27, p. 80–152.

(149) ()    Žr. Tarybos pozicijos ir išvadų 18, 40–41 dalis ir BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauką.

(150) ()     Vokietija įsteigė įvairių sričių reguliavimo institucijas apimančią skaitmeninę grupę, siekdama išplėsti jų bendradarbiavimą visais skaitmeninimo aspektais ir dalytis žiniomis bei geriausios praktikos pavyzdžiais ( https://www.dataguidance.com/news/germany-bsi-announces-formation-digital-cluster-bonn ).

(151) ()     Europos duomenų apsaugos valdybos gairės Nr. 05/2021.

(152) ()     Europos duomenų apsaugos valdybos gairių Nr. 05/2021 2 skirsnis.

(153) ()    Schrems II, 93 punktas.

(154) ()     Byla C-311/18, ECLI:EU:C:2020:559 (Schrems II).

(155) ()    Schrems II, 96 ir 105 punktai.

(156) ()    Schrems II, 131 punktas.

(157) ()    Schrems II, 105 punktas.

(158) ()     Europos duomenų apsaugos valdybos rekomendacijos Nr. 02/2020 ir tinkamumo gairės, WP 254 red. 01.

(159) ()     Europos duomenų apsaugos valdybos rekomendacijos Nr. 01/2020, papildytos rekomendacijomis Nr. 02/2020.

(160) ()     Žr. Europos duomenų apsaugos valdybos rekomendacijų Nr. 01/2020 8–13, 32–33 dalis.

(161) ()     Žr. pvz., Valdybos nuomonę (p. 7–8), Tarybos pozicijos ir išvadų 36 dalį, BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauka.

(162) ()    Komisijos įgyvendinimo komunikatas „Keitimasis asmens duomenimis ir jų apsauga globalizuotame pasaulyje“, 2017 1 10 (COM(2017) 7 final).

(163) ()     Komisijos įgyvendinimo sprendimas (ES) 2021/1772, OL L 360, 2021 10 11, p. 1–68.

(164) ()    Komisijos įgyvendinimo sprendimas (ES) 2022/254, OL L 44, 2022 2 24, p. 1–90.

(165) ()     https://commission.europa.eu/news/joint-press-statement-european-commissioner-justice-didier-reynders-and-us-secretary-commerce-wilbur-2020-08-10_en?prefLang=lt .

(166) ()    Komisijos įgyvendinimo sprendimas (ES) 2023/1795, OL L 231, 2023 9 20, p. 118–229.

(167) ()     Europos patentų organizacija yra tarpvyriausybinė organizacija, įsteigta pagal Europos patentų konvenciją. Pagrindinis jos uždavinys – išduoti Europos patentus. Šiuo atžvilgiu ji glaudžiai bendradarbiauja su ES valstybių narių įmonėmis ir valdžios institucijomis, taip pat su įvairiomis ES institucijomis ir įstaigomis.

(168) ()     Valdybos nuomonė, p. 7–8.

(169) ()    BDAR 45 straipsnio 4 ir 5 dalys. Taip pat žr. sprendimo Schrems I 76 punktą.

(170) ()     Komisijos įgyvendinimo sprendimas (ES) 2019/419, OL L 76, 2019 3 19, p. 1–58. Taip pat žr. https://ec.europa.eu/commission/presscorner/detail/lt/IP_19_421 . Šis sprendimas buvo pirmasis pagal BDAR priimtas sprendimas dėl tinkamumo ir pirmasis tarpusavio susitarimas dėl tinkamumo.

(171) ()     Komisijos ataskaita dėl pirmosios Japonijos sprendimo dėl tinkamumo veikimo peržiūros, 2023 4 3, COM(2023) 275 final (ir SWD(2023) 75 final).

(172) ()     Andora, Argentina, Kanada (komercinės veiklos vykdytojų atveju), Farerų Salos, Gernsis, Meno Sala, Izraelis, Džersis, Naujoji Zelandija, Šveicarija ir Urugvajus.

(173) ()     Komisijos ataskaita dėl pirmosios peržiūros vertinant, kaip veikia sprendimai dėl tinkamumo, priimti pagal Direktyvos 95/46/EB 25 straipsnio 6 dalį, 2024 1 15, COM(2024) 7 final (ir SWD(2024) 3 final).

(174) ()     https://ec.europa.eu/commission/presscorner/detail/lt/mex_24_1307#11 .

(175) ()     Kaip antai Argentina, Izraelis, Kolumbija, Marokas, Šveicarija ir Urugvajus.

(176) ()     Komisijos įgyvendinimo sprendimas (ES) 2021/914, OL L 199, 2021 6 7, p. 31–61.

(177) ()     Be kita ko, tai apėmė EDAV ir EDAPP bendrą nuomonę Nr. 2/2021, kuri buvo pateikta vykdant standartinių sutarčių sąlygų priėmimo procedūrą.

(178) ()     Tarybos pozicijos ir išvadų 37 dalis, Valdybos nuomonė (9 p.), BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauka.

(179) ()     https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/new-standard-contractual-clauses-questions-and-answers-overview_lt .

(180) ()     Žr. pvz., BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauką.

(181) ()     Pagal Reglamento (ES) 2018/1725 48 straipsnio 2 dalies b punktą.

(182) ()     Tarybos pozicijos ir išvadų 37 dalis, Valdybos nuomonė (9 p.), BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauka.

(183) () Europos duomenų apsaugos valdybos gairės Nr. 05/2021, 3 p.

(184) ()     Kaip nustatyta ir Europos duomenų apsaugos valdybos gairių Nr. 05/2021 4 skirsnyje.

(185) ()     Valdybos nuomonė (9 p.), BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauka.

(186) ()     Pvz., Jungtinės Karalystės ( https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf ) ir Šveicarijos ( https://www.edoeb.admin.ch/edoeb/en/home/datenschutz/arbeit_wirtschaft/datenuebermittlung_ausland.html ).

(187) ()     Pvz., Naujosios Zelandijos ( https://privacy.org.nz/responsibilities/your-obligations/disclosing-personal-information-outside-new-zealand/ ) ir Argentinos ( https://servicios.infoleg.gob.ar/infolegInternet/anexos/265000-269999/267922/norma.htm ).

(188) ()     Žr. https://rm.coe.int/t-pd-2022-1rev10-en-final/1680abc6b4 ; https://www.redipd.org/sites/default/files/2023-02/anexo-modelos-clausulas-contractuales-en.pdf ir https://asean.org/wp-content/uploads/3-ASEAN-Model-Contractual-Clauses-for-Cross-Border-Data-Flows_Final.pdf .

(189) ()     https://commission.europa.eu/document/download/df5cd5a0-7387-4a2a-8058-8d2ccfec3062_en?filename=%28Final%29%20Joint_Guide_to_ASEAN_MCC_and_EU_SCC.pdf .

(190) ()     Valdybos nuomonė, p. 9.

(191) ()     Europos duomenų apsaugos valdybos rekomendacijos Nr. 1/2022.

(192) ()     Valdybos nuomonė, p. 9.

(193) ()     BDAR įvairių suinteresuotųjų subjektų ekspertų grupės atsiliepimų santrauka.

(194) ()    Europos duomenų apsaugos valdybos gairės Nr. 07/2022 ir gairės Nr. 04/2021.

(195) ()     Europos duomenų apsaugos valdybos gairės Nr. 2/2020.

(196) ()     Konvencijos dėl elektroninių nusikaltimų antrasis papildomas protokolas dėl glaudesnio bendradarbiavimo ir elektroninių įrodymų atskleidimo (CETS Nr. 224).

(197) ()     https://commission.europa.eu/news/eu-us-announcement-resumption-negotiations-eu-us-agreement-facilitate-access-electronic-evidence-2023-03-02_en?prefLang=lt .

(198) ()     Komisijos pasiūlymas dėl Tarybos sprendimo dėl Kanados ir Europos Sąjungos susitarimo dėl keleivio duomenų įrašo (PNR) duomenų perdavimo ir tvarkymo pasirašymo Europos Sąjungos vardu, COM/2024/94 final.

(199) ()     Tai susiję su konsultacijomis, kurias organizavo, pvz., Australija, Kinija, Ruanda, Argentina, Brazilija, Etiopija, Indonezija, Peru, Malaizija ir Tailandas.

(200) ()     Pvz., Čilės, Ekvadoro ir Paragvajaus parlamentinėse institucijose.

(201) () Įskaitant ir seminarų bei pažintinių vizitų organizavimą, pvz., su Kenija, Indonezija ir Singapūru.

(202) ()     Valdybos nuomonė, p. 8; Tarybos pozicija ir išvados, 38 dalis.

(203) ()     Valdybos nuomonė, p. 8.

(204) ()     Tarybos pozicija ir išvados, 39 dalis.

(205) ()     Protokolas, kuriuo iš dalies keičiama Europos Tarybos konvencija dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (CETS Nr. 223).

(206) ()    Danija.

(207) ()    Airija, Belgija, Čekija, Graikija, Latvija, Liuksemburgas, Nyderlandai ir Švedija.

(208) ()     Žr., pvz., https://www.g7germany.de/resource/blob/974430/2062292/fbdb2c7e996205aee402386aae057c5e/2022-07-14-leaders-communique-data.pdf?download=1  

(209) ()     https://www.edps.europa.eu/data-protection/our-work/edps-worldwide/data-protection-and-international-organisations_en